莫讓“倦怠”成為威脅網絡安全的攔路虎
隨著2021年的數據泄露量再飆新高,2022年安全團隊面臨的壓力勢必進一步加劇。對于企業組織來說,試圖管理日益嚴峻的網絡安全威脅并非唯一棘手的事情,員工的高流失率同樣給了他們致命一擊。
2022年,雇主們在網絡安全方面可謂陷入了兩難境地——一方面,全球網絡攻擊數量不斷激增;另一方面,招聘市場趨緊,人才缺口持續擴大,更糟糕的是,員工流失率也達到了前所未有的水平。
這場人才爭奪戰可能會對網絡安全造成尤為嚴重的打擊。根據威脅情報公司ThreatConnect針對500多名IT決策者的調查結果顯示,50%的私營部門企業中已經存在嚴重的IT安全技能(基礎型和技術型)人才缺口。更重要的是,32%的IT管理者及25%的IT主管正考慮在未來六個月內辭去工作,這也致使雇主面臨招聘、管理和IT安全等一系列問題。
許多員工被更高的薪酬和更靈活的工作安排所吸引,但過度的工作量和績效壓力也在造成人員流失。根據ThreatConnect的研究發現,27%的受訪者表示,高壓力是導致員工離職的三大因素之一。
“倦怠”正在威脅網絡安全
“倦怠”正在以多種方式威脅網絡安全。首先,在員工方面:“人為錯誤”是組織中數據泄露的最大原因之一,而導致數據泄露或遭受網絡釣魚攻擊的風險,只會在員工壓力過大和筋疲力盡時才會進一步增加。
Tessian和斯坦福大學在2020年進行的一項研究發現,88%的數據泄露事件是由人為錯誤造成的。近半數(47%)將“分心”列為網絡釣魚詐騙的首要原因,而44%則歸咎于疲倦或壓力。
為什么疲倦和壓力具有如此“威力”?因為當人們感到壓力或筋疲力盡時,他們的認知負荷會不堪重負,這也使得發現網絡釣魚攻擊的跡象變得更加困難。
威脅行為者也深知這一點,他們不僅在進一步加強魚叉式網絡釣魚活動的復雜性,還習慣選在員工情緒低迷的下午發送攻擊。根據數據顯示,大多數網絡釣魚攻擊都是在下午2點到6點之間發動的。
Info-Tech Research Group的首席研究顧問Carlos Rivera表示,不應忽視或低估倦怠對于增加企業遭受網絡釣魚攻擊方面所起的作用。因此,作為組織安全意識計劃的一部分,創建網絡釣魚模擬計劃是一種很好的做法。
Rivera表示,“該計劃可以通過每年實施一小時的培訓來優化,也可以將其劃分為每月5分鐘或每季度15分鐘的培訓課程。為了最大化培訓效果,建議將課程定位為基于當前事件的主題,具體表現為黑客使用的策略、技術和程序(TTP)。”
分析機構Gartner最近發布的一份報告認為,網絡安全領導者的角色需要從“主要處理IT部門內部風險”重新構建為“負責制定高管級別的信息風險決策,并確保業務領導者具有全面網絡安全知識”。
Gartner預測,到2026年,50%的C級高管將在其雇傭合同中包含與網絡安全風險相關的績效要求。這意味著網絡安全領導者未來將減少許多IT決策的直接控制權。
Gartner研究總監Sam Olyaei表示,“網絡安全領導者一直在超荷載運作,幾乎處于‘永遠在線’的模式。造成這種現象的部分原因在于,過去十年間,組織內部利益相關者的期望越來越不一致,網絡安全領導者必須變得越來越有彈性。”
根據Tessian的研究數據顯示,安全領導者每周平均加班11小時,十分之一的領導者每周加班24小時。他們把大部分時間都花在了調查和補救員工錯誤造成的威脅上。即便到了下班時間,高達60%的CISO仍因壓力而被迫加班。
企業組織是時候重視倦怠對安全團隊以及對更廣泛組織的連鎖反應了。試想一下,如果CISO正在經歷這種程度的倦怠,這將對更廣泛的組織以及與他們一起工作的人產生何種影響。如果團隊經常處于倦怠狀態,關鍵時刻您將喪失可用之人。
“美化”中的過度勞累
不得不提的一點是,圍繞網絡安全的文化也需要改變,它正在錯誤地倡導“加班文化”和為了企業而犧牲個人福祉。
作為安全領導者,最激動人心的一些故事包括通宵達旦地保衛組織或調查威脅。但我們常常不愿意承認,對英雄主義的需求通常預示著一種失敗的狀態,它是不可持續的。
作為領導者,CISO需要以身作則并以“可持續的運營”為目標建立他們的團隊。當你下班了,你就是下班了,并努力讓整個團隊都感受到這種可持續性文化。
Rivera指出,遠程工作的日益普及可能會加劇員工工作時間延長的趨勢,這可能導致倦怠、不明原因的缺勤,甚至在某些情況下,人員流動率高于預期。
為此,安全和技術團隊應該與其他部門合作,讓組織意識到倦怠和過度工作的危害性,這可以幫助管理人員在公司內部灌輸一種彈性文化。
緩解建議
緩解網絡安全倦怠現狀的方法包括,在開發環境中采用“左移(left-shift)思維方式”。倦怠和壓力會導致錯誤有機可乘,并進入已發布的代碼之中,在開發過程中盡早引入安全性并利用工具來自動化和支持這一目標,可以降低組織面臨的風險。
在技術方面,構建持續改進/持續交付(CI/CD)管道以及部署集成開發環境(IDE)等工具將為組織提供絕佳機會。IDE將由源代碼編輯器、調試器和構建自動化工具組成,為開發人員提供自助服務功能并近乎實時地識別錯誤。IDE與靜態分析安全測試和自動進入構建管道的開源掃描相結合,將提供有效的漏洞緩解方案。
與其他任何工作職能一樣,溝通也很重要。CISO需要清楚地表達在當前擁有的資源和限制條件下,無法做到一些事情,為更廣泛的組織開創先例,帶動全組織范圍內的“可持續性文化”。
安全行業存在這種不幸的“英雄主義”趨勢——這種心態必須改變。
本文翻譯自:https://www.zdnet.com/article/cybersecurity-burnout-is-real-and-its-going-to-be-a-problem-for-all-of-us/如若轉載,請注明原文地址。
