Cần làm gì khi đội ngũ bảo mật bị quá tải?

Những triệu chứng này phổ biến đến mức Tổ chức Y tế Thế giới (WHO) đã xếp chúng vào hiện tượng nghề nghiệp. Bất kỳ ai cũng đã từng trải qua điều này vào một thời điểm nào đó trong đời.

Bản chất công việc của những người làm việc trong lĩnh vực bảo mật thông tin, chẳng hạn như trong trung tâm điều hành bảo mật (SOC), là con đường trực tiếp dẫn đến tình trạng kiệt sức. Điều này có thể gây hại cho bản thân họ và công ty nơi họ làm việc.

Theo một nghiên cứu gần đây được thực hiện bởi Enterprise Strategy Group do Kaspersky quyền, 70% tổ chức thừa nhận đang gặp khó khăn trong việc theo kịp khối lượng cảnh báo bảo mật. Ngoài số lượng, 67% tổ chức phải đối mặt với một thách thức khác trong nghiên cứu này. Nhà phân tích SOC gặp khó khăn trong việc tập trung vào các nhiệm vụ quan trọng và phức tạp hơn do tình trạng này. 34% doanh nghiệp có các nhóm an ninh mạng bị quá tải với các cảnh báo và vấn đề bảo mật khẩn cấp cho biết họ không có đủ thời gian để cải thiện chiến lược và quy trình.

"Các chuyên gia của chúng tôi dự đoán rằng trong mọi chiến lược phát triển SOC, việc phát hiện mối nguy hiểm trực tuyến và tìm kiếm mối nguy hiểm sẽ là rất quan trọng. Tuy nhiên, với bối cảnh hiện tại, nơi các nhà phân tích SOC đang sử dụng thời gian, kỹ năng và năng lượng của họ để xử lý các IoC chất lượng kém và chiến đấu với cảnh báo không cần thiết, việc tìm kiếm các mối đe phức tạp, khó phát hiện trong cơ sở hạ tầng không chỉ là một chiến lược không hiệu quả mà còn khiến tình trạng kiệt sức không thể tránh khỏi, ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky Đông Nam Á cho biết.

Theo quan sát của chúng tôi, SOC sẽ tiếp tục đối mặt với các cuộc tấn công tinh vi, chẳng hạn như mã độc tống tiền và chuỗi cung ứng, trong năm 2023, ông Yeo nói thêm. Điều đó có nghĩa là nhóm SOC phải sẵn sàng đối mặt với những mối đe này và thành công chính trong quá trình chuẩn bị sẽ là cải thiện đáng kể các khía cạnh của SOC, bao gồm cả việc chống lại tình trạng kiệt sức. Chúng tôi khuyên các tổ chức nên xem xét cách làm cho các nhiệm vụ của SOC trở nên đa dạng hơn, có thể tính đến các giải pháp tự động hóa và sử dụng các nguồn lực bên ngoài để giải quyết các vấn đề nội bộ, giúp đội ngũ SOC thoát khỏi tình trạng kiệt sức và tăng mức độ an ninh mạng.

Kaspersky chia sẻ các cách sau đây để hợp lý hóa công việc của một SOC và ngăn ngừa sự mệt mỏi:

• Sắp xếp các ca làm việc trong nhóm SOC để tránh nhân viên làm việc quá sức. Đảm bảo tất cả các nhiệm vụ chính được phân bổ cho mọi người như giám sát, điều tra, quản trị kiến trúc và kỹ thuật CNTT, và quản lý SOC tổng thể.
• Các biện pháp như điều chuyển và luân chuyển nội bộ cũng như tự động hóa các hoạt động thông thường và thuê chuyên gia giám sát dữ liệu bên ngoài có thể giúp giải quyết tình trạng nhân viên quá tải, điều có thể dẫn đến tình trạng kiệt sức của SOC.
• Sử dụng dịch vụ thám báo về mối đe dọa đã được chứng minh cho phép tích hợp thông tin thám báo mà máy có thể đọc được vào các biện pháp kiểm soát bảo mật hiện có, chẳng hạn như hệ thống SIEM, để tự động hóa quy trình xử lý ban đầu và tạo đủ ngữ cảnh để quyết định xem có nên điều tra cảnh báo ngay lập tức hay không.
• Sử dụng dịch vụ phát hiện và phản hồi được quản lý đã được chứng minh, chẳng hạn như Nền tảng phát hiện và phản hồi mở rộng của Kaspersky (Kaspersky Extended Detection and Response - XDR), một công nghệ bảo mật nhiều lớp giúp bảo vệ cơ sở hạ tầng CNTT. XDR được coi là phiên bản nâng cao hơn của phát hiện và phản hồi điểm cuối (EDR). Trong khi EDR tập trung vào các điểm cuối, XDR mở rộng hơn vào nhiều điểm kiểm soát bảo mật để phát hiện các mối đe dọa nhanh hơn bằng cách sử dụng phân tích chuyên sâu và tự động hóa. Các sản phẩm và giải pháp tạo nên XDR gồm Kaspersky EDR Optimum, Kaspersky EDR Expert, Kaspersky Anti-Targeted Attack Platform, Kaspersky Managed Detection and Response, và Kaspersky Incident Response.

Tạp chí Điện tử và Ứng dụng

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống