外房网

哔，哔，叮，叮——警觉疲劳的起源。

警惕疲劳并不是一个新现象。当网络安全专业人员在处理过多的警报后变得麻木时，就会出现这种情况，因此他们开始忽略或忽略它们，并有较慢的响应时间。在大多数警报疲劳的情况下，员工无法及时做出反应，因为他们经历了警报和通知的精疲力竭。

警报疲劳被认为是2013年Target Data Breach事件的主要原因，该事件导致约4000万客户的信用卡和个人信息被盗。这是许多企业都关心的问题，需要引起重视。但是你如何减轻警觉呢?让我们一探究竟。

对于网络安全专业人士来说，这是一场真正的斗争

“警报疲劳”一词最早是由美国非营利医院认证组织联合委员会(The Joint Commission)在2004年提出的，目的是宣布临床警报有效性为医院的标准。自那以后，它在许多处理警报的企业中变得流行起来，包括网络安全。

尽管忽略消息或应用程序通知可能不会对你的日常生活产生负面影响，但对网络安全专业人士及其组织来说，后果可能会非常严重。根据RiskIQ的2021年邪恶互联网一分钟报告1，网络犯罪每60秒给企业造成179万美元的巨大损失。

2018年的一项调查，也就是四年前的一项调查发现，27%的IT专业人士每天会收到超过100万个安全警报(暂停一下，让自己好好想想)，而大多数人(67%)每天会收到10万个警报。中小企业也未能幸免——每天受到4000次网络攻击。

预计这一数字短期内不会下降。同年的一项相关研究发现，警报正在增加，而安全人员平均每周只能处理1.2万个警报。

网络安全大辞职

网络安全专业人士面临职业倦怠并不奇怪。即使是一个规模相当大的团队，每天处理2000多个通知也是非常耗费脑力的。想象一下，在一个典型的工作日里，你每8小时就处于消防员模式，有时甚至更长。

Panther Labs最近的一份报告发现，高达80%的安全工程师都精疲力竭。此外，在Deep Instinct第三版《SecOps之声报告2》中，45%的受访者考虑因压力过大而彻底离开这个行业。46%的受访者表示，他们知道至少有一位同行在过去一年里因为压力过大而离开了网络安全行业。

首席信息安全官(CISOs)正以更惊人的速度精疲力竭并辞职。在同一份报告中的1000名受访者中，49%的人正考虑离开这个行业，原因是压力越来越大。

这不仅仅是人们离职的问题，还有对行业本身的损害。这个行业正在永远地流失人才，而且不太可能有一个公平的人才替换率。尽管进入这个行业的人比离开这个行业的人要多，但新进入者需要时间来跟上形势。

并非所有人都是人人生而平等

那么为什么会有这么多警报呢?云安全态势管理(CSPM)和安全信息和事件管理(SIEM)等监控工具在云基础设施中检测到异常时发出警报。然而，不是所有的警报都需要采取行动，或者至少不是立即采取行动。有些警报指示可以稍后修复或甚至忽略的小问题。

此外，根据Fastly在2021年发布的一份报告，还有假阳性，占所有网络安全警报的近一半(45%)。假阳性是指实际上不存在攻击、漏洞或风险时发出的警报。

你就当它是虚惊一场，或者是那个喊狼来了的男孩。例如，缺少安全证书的旧合法文件可能被标记为恶意文件。

类似地，当信息安全(IS)团队不知道员工正在度假时，可能会发出警报，表明来自未知位置的员工进行了可疑登录。

为了减少此类警告，你可以使用最小权限策略，只共享对不容易受到威胁的应用程序和数据的访问权限。您还可以使用零信任模型，完全限制对易受威胁或关键应用程序和数据的访问。

Fastly的报告还发现，75%的组织在假阳性上花费的时间与在实际攻击上花费的时间一样多，有时甚至更多。这些错误警报造成的停机时间与真正的攻击相同。

假阳性的问题不在于它们的存在，而是:

• 他们的数量之多
• 每一个都需要时间和精力来审查、调查和验证，以确定攻击、威胁或漏洞是否真实。

这些都是警惕疲劳的根本原因。

想象一下，一个有问题的火警系统在你家里反复响起。当它第一次嚎啕大哭时，你会彻底搜查房子的每一个角落，以确定是否发生了火灾以及火灾在哪里。你可能会对接下来的几个警报这么做，但最终，你会觉得不值得花时间去调查另一个警报，然后忽略它。

同样，网络安全专业人员可能最终会因为警报疲劳而完全忽略或错过表明真正威胁或攻击的重要警报。然后还要考虑哪些警报更重要，需要优先处理。

一些组织使用不同的系统来监视他们的云基础设施，这意味着每个系统都能获得公平份额的警报。这些通常会产生多重效应，让网络安全专业人士淹没在警报的汪洋大海中。

4个预防的建议乐特·疲劳拉

不幸的是，你无法根除错误警报。对监视规则进行微调有助于减少它们，但这种减少充其量是微不足道的。然而，使用CSPM和其他监控工具可以帮助网络安全专业人员将警报置于背景中，或为事实调查和减轻威胁提供足够的信息。

另一个可能的对策是提供简单的一键式补救措施，这样安全人员就可以快速轻松地减轻常见威胁，甚至提供如何补救这些威胁的逐步指示。

以下是在CPSM工具中需要考虑的一些功能，以帮助您的安全人员减少警惕疲劳。

1. 有限公司ntextualize一lerts 

CSPM应该允许您快速识别并放大可疑资产，以根据与事件严重性相关的配置和活动透视图了解威胁的上下文。

这大大减少了调查每个警报所需的时间。您可以快速识别和消除错误警报，立即采取行动减轻威胁，或补救漏洞。

2. 提供交易纳夫莱的见解

预防胜于治疗。为什么要等警报通过呢?想象一下，看到对多云环境所做的所有更改的历史记录，每一次更改都伴随着可操作的洞察，帮助您了解云基础设施的潜在威胁，甚至指导您采取主动行动以减轻潜在威胁。

拥有这样的功能还将允许您的组织为国际标准(如ISO 27001、SOC 2)、特定行业和地区标准(如用于支付行业的PCI DSS、新加坡的MAS TRM、印度尼西亚的POJK 38、澳大利亚的APRA和泰国的PDPA)做好审计准备。

3.自定义规则和威胁级别标记

每个组织都有独特的安全和业务需求;你的也一样。您可能有一些内部安全规则需要监控。与行业同行相比，一些组织的云资产也比其他组织更重要。

您可以通过监视这些内部规则和资产，为每个规则和资产设置正确的临界标志，并为它们设置优先级，来减少警报疲劳。例如，当包含个人可识别信息(Personal identifier Information, PII)数据的AWS S3桶发生任何更改时，您可能希望获得警报。

进一步说，CSPM应该允许您创建监视组，您可以在其中指定关键级别并自动将其应用到组织中其他标记的关键资产。这将帮助你减少警惕疲劳。

4. 快速修复威胁和漏洞

您的安全人员还应该能够快速、轻松地修复常见的和次要的漏洞和威胁，并接受有关减轻特定漏洞的逐步指导。

事实上，选择所有常见的和次要的漏洞，然后通过单击鼠标进行批量修复，将显著减少安全人员在修复上花费的时间。

另一种帮助安全人员避免警惕疲劳并同时提高技能的方法是，确保CSPM工具提供纠正漏洞的逐步指导。例如，您的安全人员可以选择使用一键式选项来修复常见和次要的漏洞，同时使用逐步的剧本来进行更复杂的修复并从中学习。

保持一个轻一点，但不要太多

警报疲劳是当今网络安全行业面临的一个现实问题。它不仅会削弱您的组织对越来越多、越来越复杂的网络攻击的防御能力，而且还会严重损害您的安全人员的精神健康。

警惕疲劳导致了许多现实生活中的入侵案例。许多专业人士实际上正在离开或正在考虑离开这个行业。这对整个网络安全行业来说不是一个好兆头，因为云计算的应用正在上升，而且全球范围内对这类人才的需求非常迫切。

虽然我们不得不承认警觉疲劳永远无法根除，但我们至少可以尽最大努力将这种腐烂程度降到最低。引入并采用一个好的CSPM工具是实现这一目标的一个好方法。

这个问题需要尽快解决，不能任其恶化。

网络攻击来袭!了解当你的数据被泄露时该怎么做，并防止未来的泄露。