Chuyên gia bảo mật cũng có nguy cơ bị quá tải

Đối với những người làm việc trong lĩnh vực bảo mật thông tin, chẳng hạn như trong trung tâm điều hành bảo mật (SOC), bản chất công việc tái lập cũng có khả năng gây ra tình trạng kiệt sức. Điều này không chỉ gây tổn hại cho bản thân họ mà còn cho tổ chức nơi họ làm việc.

Kaspersky

Về cơ bản, công việc này đòi hỏi phải tìm kiếm sự bất thường trong dữ liệu đến, ngày này qua ngày khác. Khi một sự bất thường được phát hiện, mọi việc hằng ngày sẽ có chút thay đổi vì có sự cố cần điều tra, dữ liệu cần thu thập cũng như các đánh giá rủi ro và thiệt hại cần thực hiện. Nhưng các sự cố mạng nghiêm trọng không phổ biến ở các công ty có giải pháp tiên tiến bảo vệ máy chủ, máy trạm và toàn bộ cơ sở hạ tầng thông tin.

Trong một nghiên cứu gần đây được thực hiện bởi Enterprise Strategy Group do hãng bảo mật Kaspersky ủy quyền, 70% tổ chức thừa nhận đang gặp khó khăn trong việc theo kịp khối lượng cảnh báo bảo mật.

Theo nghiên cứu ESG, ngoài số lượng, sự đa dạng của các cảnh báo là một thách thức khác đối với 67% tổ chức. Tình huống này khiến nhà phân tích SOC khó tập trung vào các nhiệm vụ quan trọng và phức tạp hơn. 34% công ty có các nhóm an ninh mạng bị quá tải với các cảnh báo và vấn đề bảo mật khẩn cấp cho biết họ không có đủ thời gian để cải thiện chiến lược và quy trình.

"Các chuyên gia của chúng tôi dự đoán rằng thám báo về mối đe dọa trực tuyến và tìm kiếm mối đe dọa sẽ là thành tố quan trọng trong mọi chiến lược phát triển SOC. Nhưng với bối cảnh hiện tại, nơi các nhà phân tích SOC đang sử dụng thời gian, kỹ năng và năng lượng của họ để xử lý các IoC chất lượng kém và chiến đấu với cảnh báo không cần thiết thay vì tìm kiếm những mối đe dọa phức tạp, khó phát hiện trong cơ sở hạ tầng không chỉ là cách tiếp cận không hiệu quả mà còn khiến tình trạng kiệt sức không thể tránh khỏi", ông Yeo Siang Tiong, Tổng giám đốc Kaspersky Đông Nam Á cho biết.

Để hợp lý hóa công việc của một SOC và tránh sự mệt mỏi vì cảnh báo, Kaspersky chia sẻ một số phương pháp phòng tránh như sau:

• Sắp xếp các ca làm việc trong nhóm SOC để tránh nhân viên làm việc quá sức. Đảm bảo tất cả nhiệm vụ chính được phân bổ cho mọi người như giám sát, điều tra, quản trị kiến trúc và kỹ thuật CNTT, và quản lý SOC tổng thể.
• Các biện pháp như điều chuyển và luân chuyển nội bộ cũng như tự động hóa các hoạt động thông thường và thuê chuyên gia giám sát dữ liệu bên ngoài có thể giúp giải quyết tình trạng nhân viên quá tải.
• Sử dụng dịch vụ thám báo về mối đe dọa đã được chứng minh cho phép tích hợp thông tin thám báo mà máy có thể đọc được vào các biện pháp kiểm soát bảo mật hiện có, chẳng hạn như hệ thống SIEM, để tự động hóa quy trình xử lý ban đầu và tạo đủ ngữ cảnh để quyết định xem có nên điều tra cảnh báo ngay lập tức hay không.
• Để giúp giải phóng SOC khỏi các tác vụ xử lý cảnh báo thông thường, có thể sử dụng dịch vụ phát hiện và phản hồi được quản lý đã được chứng minh, chẳng hạn như Nền tảng phát hiện và phản hồi mở rộng của Kaspersky (Kaspersky Extended Detection and Response - XDR), một công nghệ bảo mật nhiều lớp giúp bảo vệ cơ sở hạ tầng CNTT.