隨著2021年的數(shù)據(jù)泄露量再飆新高,2022年安全團(tuán)隊(duì)面臨的壓力勢必進(jìn)一步加劇。對于企業(yè)組織來說,試圖管理日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅并非唯一棘手的事情,員工的高流失率同樣給了他們致命一擊。
2022年,雇主們在網(wǎng)絡(luò)安全方面可謂陷入了兩難境地——一方面,全球網(wǎng)絡(luò)攻擊數(shù)量不斷激增;另一方面,招聘市場趨緊,人才缺口持續(xù)擴(kuò)大,更糟糕的是,員工流失率也達(dá)到了前所未有的水平。
這場人才爭奪戰(zhàn)可能會對網(wǎng)絡(luò)安全造成尤為嚴(yán)重的打擊。根據(jù)威脅情報(bào)公司ThreatConnect針對500多名IT決策者的調(diào)查結(jié)果顯示,50%的私營部門企業(yè)中已經(jīng)存在嚴(yán)重的IT安全技能(基礎(chǔ)型和技術(shù)型)人才缺口。更重要的是,32%的IT管理者及25%的IT主管正考慮在未來六個月內(nèi)辭去工作,這也致使雇主面臨招聘、管理和IT安全等一系列問題。
許多員工被更高的薪酬和更靈活的工作安排所吸引,但過度的工作量和績效壓力也在造成人員流失。根據(jù)ThreatConnect的研究發(fā)現(xiàn),27%的受訪者表示,高壓力是導(dǎo)致員工離職的三大因素之一。
“倦怠”正在威脅網(wǎng)絡(luò)安全
“倦怠”正在以多種方式威脅網(wǎng)絡(luò)安全。首先,在員工方面:“人為錯誤”是組織中數(shù)據(jù)泄露的最大原因之一,而導(dǎo)致數(shù)據(jù)泄露或遭受網(wǎng)絡(luò)釣魚攻擊的風(fēng)險(xiǎn),只會在員工壓力過大和筋疲力盡時才會進(jìn)一步增加。
Tessian和斯坦福大學(xué)在2020年進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),88%的數(shù)據(jù)泄露事件是由人為錯誤造成的。近半數(shù)(47%)將“分心”列為網(wǎng)絡(luò)釣魚詐騙的首要原因,而44%則歸咎于疲倦或壓力。
為什么疲倦和壓力具有如此“威力”?因?yàn)楫?dāng)人們感到壓力或筋疲力盡時,他們的認(rèn)知負(fù)荷會不堪重負(fù),這也使得發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊的跡象變得更加困難。
威脅行為者也深知這一點(diǎn),他們不僅在進(jìn)一步加強(qiáng)魚叉式網(wǎng)絡(luò)釣魚活動的復(fù)雜性,還習(xí)慣選在員工情緒低迷的下午發(fā)送攻擊。根據(jù)數(shù)據(jù)顯示,大多數(shù)網(wǎng)絡(luò)釣魚攻擊都是在下午2點(diǎn)到6點(diǎn)之間發(fā)動的。
Info-Tech Research Group的首席研究顧問Carlos Rivera表示,不應(yīng)忽視或低估倦怠對于增加企業(yè)遭受網(wǎng)絡(luò)釣魚攻擊方面所起的作用。因此,作為組織安全意識計(jì)劃的一部分,創(chuàng)建網(wǎng)絡(luò)釣魚模擬計(jì)劃是一種很好的做法。
Rivera表示,“該計(jì)劃可以通過每年實(shí)施一小時的培訓(xùn)來優(yōu)化,也可以將其劃分為每月5分鐘或每季度15分鐘的培訓(xùn)課程。為了最大化培訓(xùn)效果,建議將課程定位為基于當(dāng)前事件的主題,具體表現(xiàn)為黑客使用的策略、技術(shù)和程序(TTP)。”
分析機(jī)構(gòu)Gartner最近發(fā)布的一份報(bào)告認(rèn)為,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的角色需要從“主要處理IT部門內(nèi)部風(fēng)險(xiǎn)”重新構(gòu)建為“負(fù)責(zé)制定高管級別的信息風(fēng)險(xiǎn)決策,并確保業(yè)務(wù)領(lǐng)導(dǎo)者具有全面網(wǎng)絡(luò)安全知識”。
Gartner預(yù)測,到2026年,50%的C級高管將在其雇傭合同中包含與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的績效要求。這意味著網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者未來將減少許多IT決策的直接控制權(quán)。
Gartner研究總監(jiān)Sam Olyaei表示,“網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者一直在超荷載運(yùn)作,幾乎處于‘永遠(yuǎn)在線’的模式。造成這種現(xiàn)象的部分原因在于,過去十年間,組織內(nèi)部利益相關(guān)者的期望越來越不一致,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須變得越來越有彈性。”
根據(jù)Tessian的研究數(shù)據(jù)顯示,安全領(lǐng)導(dǎo)者每周平均加班11小時,十分之一的領(lǐng)導(dǎo)者每周加班24小時。他們把大部分時間都花在了調(diào)查和補(bǔ)救員工錯誤造成的威脅上。即便到了下班時間,高達(dá)60%的CISO仍因壓力而被迫加班。
企業(yè)組織是時候重視倦怠對安全團(tuán)隊(duì)以及對更廣泛組織的連鎖反應(yīng)了。試想一下,如果CISO正在經(jīng)歷這種程度的倦怠,這將對更廣泛的組織以及與他們一起工作的人產(chǎn)生何種影響。如果團(tuán)隊(duì)經(jīng)常處于倦怠狀態(tài),關(guān)鍵時刻您將喪失可用之人。
“美化”中的過度勞累
不得不提的一點(diǎn)是,圍繞網(wǎng)絡(luò)安全的文化也需要改變,它正在錯誤地倡導(dǎo)“加班文化”和為了企業(yè)而犧牲個人福祉。
作為安全領(lǐng)導(dǎo)者,最激動人心的一些故事包括通宵達(dá)旦地保衛(wèi)組織或調(diào)查威脅。但我們常常不愿意承認(rèn),對英雄主義的需求通常預(yù)示著一種失敗的狀態(tài),它是不可持續(xù)的。
作為領(lǐng)導(dǎo)者,CISO需要以身作則并以“可持續(xù)的運(yùn)營”為目標(biāo)建立他們的團(tuán)隊(duì)。當(dāng)你下班了,你就是下班了,并努力讓整個團(tuán)隊(duì)都感受到這種可持續(xù)性文化。
Rivera指出,遠(yuǎn)程工作的日益普及可能會加劇員工工作時間延長的趨勢,這可能導(dǎo)致倦怠、不明原因的缺勤,甚至在某些情況下,人員流動率高于預(yù)期。
為此,安全和技術(shù)團(tuán)隊(duì)?wèi)?yīng)該與其他部門合作,讓組織意識到倦怠和過度工作的危害性,這可以幫助管理人員在公司內(nèi)部灌輸一種彈性文化。
緩解建議
緩解網(wǎng)絡(luò)安全倦怠現(xiàn)狀的方法包括,在開發(fā)環(huán)境中采用“左移(left-shift)思維方式”。倦怠和壓力會導(dǎo)致錯誤有機(jī)可乘,并進(jìn)入已發(fā)布的代碼之中,在開發(fā)過程中盡早引入安全性并利用工具來自動化和支持這一目標(biāo),可以降低組織面臨的風(fēng)險(xiǎn)。
在技術(shù)方面,構(gòu)建持續(xù)改進(jìn)/持續(xù)交付(CI/CD)管道以及部署集成開發(fā)環(huán)境(IDE)等工具將為組織提供絕佳機(jī)會。IDE將由源代碼編輯器、調(diào)試器和構(gòu)建自動化工具組成,為開發(fā)人員提供自助服務(wù)功能并近乎實(shí)時地識別錯誤。IDE與靜態(tài)分析安全測試和自動進(jìn)入構(gòu)建管道的開源掃描相結(jié)合,將提供有效的漏洞緩解方案。
與其他任何工作職能一樣,溝通也很重要。CISO需要清楚地表達(dá)在當(dāng)前擁有的資源和限制條件下,無法做到一些事情,為更廣泛的組織開創(chuàng)先例,帶動全組織范圍內(nèi)的“可持續(xù)性文化”。
安全行業(yè)存在這種不幸的“英雄主義”趨勢——這種心態(tài)必須改變。
本文翻譯自:https://www.zdnet.com/article/cybersecurity-burnout-is-real-and-its-going-to-be-a-problem-for-all-of-us/