Sự từ chức vĩ đại – hay Cuộc cải tổ vĩ đại như một số người đang gọi – và khoảng cách kỹ năng ngày càng tăng đã chiếm ưu thế trên các tiêu đề gần đây. Nhưng những vấn đề này không mới đối với ngành công nghiệp an ninh mạng. Trong khi nhiều người chỉ mới nghe về tình trạng kiệt sức của nhân viên, các đội an ninh đã phải đối mặt với thực tế và hậu quả nghiêm trọng của việc kiệt sức trong nhiều năm.
Một trong những thủ phạm lớn nhất? Cảnh báo quá tải.
Đội bảo vệ trung bình nhận được hàng chục nghìn cảnh báo mỗi ngày. Nhiều nhà phân tích cảm thấy như họ không thể ngẩng đầu lên trên mặt nước… và bắt đầu bỏ cuộc. Điều này trông giống như sự kiệt sức về thể chất và thậm chí là thờ ơ. Các cuộc khảo sát cho thấy một số nhà phân tích bảo mật cảm thấy quá tải, họ bỏ qua các cảnh báo và thậm chí bỏ đi khỏi máy tính của mình.
Trên thực tế, các cuộc khảo sát này cho thấy 70% đội bảo mật cảm thấy bị choáng ngợp trước các cảnh báo và hơn 55% chuyên gia bảo mật không cảm thấy hoàn toàn tin tưởng rằng họ có thể ưu tiên và phản hồi mọi cảnh báo thực sự cần chú ý.
Đáng buồn thay, không có một giây phút nào để lãng phí khi có một mối đe dọa chính đáng. Bối cảnh mối đe dọa đang thay đổi rất nhanh, bạn cần một đội bảo mật không chỉ đứng đầu trò chơi của họ mà còn có tầm nhìn xa để dự đoán các mối đe dọa mới xuất hiện. Vì vậy, vấn đề cảnh báo quá tải là một trong những thành phần chính trong công thức dẫn đến thảm họa khi nói đến rủi ro kinh doanh. Và rủi ro chỉ ngày càng gia tăng (hãy nghĩ rằng chuỗi cung ứng và các cuộc tấn công ransomware vào các ngành quan trọng như chăm sóc sức khỏe).
Không cần phải nói rằng nếu điều này kéo dài, chỉ là vấn đề thời gian trước khi một mối đe dọa hợp pháp không bị phát hiện và dẫn đến hậu quả nghiêm trọng cho một tổ chức và thậm chí cả những công dân tư nhân giao dữ liệu của họ cho tổ chức đó.
Nhưng theo nhà cung cấp XDR, Cynet, “… vấn đề không phải là cảnh báo – mà là phản hồi.”
Các đội an ninh đang ở thời điểm quan trọng và cần phải tìm ra cách giảm thiểu tình trạng quá tải cảnh báo và có chiến lược đối phó. May mắn thay, có một hướng dẫn cho điều đó.
Hướng dẫn được phát hành gần đây của Cynet cung cấp một số cách mà các đầu mối bảo mật có thể kéo các nhà phân tích của họ ra khỏi đại dương sai lầm và đưa họ trở lại bờ. Nó bao gồm các mẹo về cách giảm cảnh báo bằng cách sử dụng tự động hóa và chia sẻ hướng dẫn cho các tổ chức đang cân nhắc việc thuê bên ngoài để phát hiện và phản hồi được quản lý (MDR) của họ. Spoiler: hướng dẫn cũng chia sẻ cách các nhóm bảo mật có thể gỡ bỏ trang web của các công cụ bảo mật cần thiết cho quá trình tự động hóa.
Ngoài việc cung cấp ngữ cảnh về lý do tại sao cảnh báo đang làm cho an ninh mạng trở nên tồi tệ hơn và cách những cảnh báo này trở nên quá tải, hướng dẫn này còn chia sẻ thông tin chi tiết về:
Câu hỏi về gia công phần mềm – Gia công phần mềm phát hiện và phản hồi được quản lý (MDR) là một lựa chọn tuyệt vời nếu bạn cần mở rộng quy mô nhanh chóng và không có đủ nguồn lực. MDR có thể giúp giảm căng thẳng và trả lại thời gian cho nhóm của bạn. Một xem xét khác là chi phí. Bạn cũng sẽ cần đầu tư thời gian vào việc tìm kiếm một MDR phù hợp với doanh nghiệp của bạn. Thuê ngoài có thể là giải pháp phù hợp với nhu cầu riêng của bạn.
Cách giảm cảnh báo – Nó bắt đầu với chiến lược. Xem xét công nghệ hiện có của bạn và đảm bảo rằng bạn đã tối ưu hóa cài đặt của chúng và các công cụ của bạn đã được hiệu chỉnh. Cuối cùng, vấn đề không phải là giảm nhiều cảnh báo mà là về cách bạn thiết lập nhóm của mình để phản hồi.
Giới thiệu phản hồi tự động – Ngay cả các nhóm bảo mật tốt nhất cũng có thể giải quyết các mối đe dọa nếu họ sử dụng tự động hóa. Tự động hóa cho phép các nhóm bảo mật nhanh chóng phản hồi các cảnh báo trên quy mô lớn. Nhưng một trong những thách thức lớn nhất với tự động hóa là biết cách thiết lập nó đúng cách ngay từ đầu.
Các công cụ hỗ trợ tự động hóa – Một trong những lý do khiến việc thiết lập tự động hóa là một thách thức là do sự phong phú của các công cụ công nghệ cần được tích hợp (như EDR, NDR, IPS, tường lửa, chống thư rác, lọc DNS, v.v.). Điều quan trọng là bạn phải biết cách đặt tất cả các công cụ này vào một nơi.
Dễ dàng bảo vệ vi phạm tự chủ – Một lần nữa, tất cả đều đi xuống tích hợp. Nhưng có một số công cụ này ở một nơi có một số lợi ích đáng kể: nó dễ dàng và không yêu cầu nhiều chuyên môn kỹ thuật, giải pháp tất cả trong một tiết kiệm chi phí hơn và nó cho phép phát hiện nhanh hơn và phản hồi đầy đủ thông tin hơn.
Tương lai còn xa mịt mù. Cynet thông báo với chúng tôi rằng “Không chỉ là giải pháp để cảnh báo tình trạng quá tải, các công cụ tích hợp và phản ứng tự động là tương lai của an ninh mạng – một tương lai mà những người bảo vệ giành lại lợi thế.”
Nếu bạn muốn tìm hiểu thêm và học cách dừng cảnh báo quá tải, hãy tải hướng dẫn tại đây.
.
