Для тех, кто работает в сфере информационной безопасности, например, в центре безопасности (SOC), повторяющийся характер работы также может стать причиной выгорания. Это вредит не только им самим, но и организации, в которой они работают.

По сути, эта работа требует ежедневного поиска аномалий во входящих данных. При обнаружении аномалии повседневная рутина немного меняется, поскольку необходимо расследовать инциденты, собирать данные и проводить оценку рисков и ущерба. Однако серьезные киберинциденты не редкость в компаниях, использующих передовые решения для защиты серверов, рабочих станций и всей информационной инфраструктуры.

В недавнем исследовании, проведенном Enterprise Strategy Group по заказу компании Kaspersky, занимающейся безопасностью, 70% организаций признались, что им трудно справляться с объемом оповещений о безопасности.

По данным исследования ESG, помимо количества, для 67% организаций еще одной проблемой является разнообразие оповещений. Такая ситуация мешает аналитику SOC сосредоточиться на более важных и сложных задачах. 34% компаний, в которых службы кибербезопасности перегружены срочными оповещениями и проблемами безопасности, говорят, что у них недостаточно времени для совершенствования стратегии и процессов.

«Наши эксперты прогнозируют, что разведка киберугроз и поиск угроз станут ключевым компонентом любой стратегии SOC. Но текущая ситуация, когда аналитики SOC тратят свое время, навыки и энергию на обработку некачественных IoC и борьбу с ненужными оповещениями вместо поиска сложных, труднообнаруживаемых угроз в инфраструктуре, — это не только неэффективный подход, но и неизбежное выгорание», — сказал Йео Сян Тионг, генеральный менеджер по Юго-Восточной Азии в Kaspersky.

Чтобы оптимизировать работу SOC и избежать перегрузки оповещениями, «Лаборатория Касперского» делится некоторыми методами профилактики, перечисленными ниже:

• Организуйте смены в команде SOC, чтобы избежать перегрузки сотрудников. Обеспечьте распределение всех ключевых задач между сотрудниками, включая мониторинг, расследование, управление ИТ-архитектурой и проектированием, а также общее управление SOC.
• Такие меры, как внутренние переводы и ротации, а также автоматизация рутинных операций и аутсорсинг мониторинга данных, могут помочь решить проблему перегрузки персонала.
• Использование проверенной службы анализа угроз позволяет интегрировать машиночитаемые данные в существующие средства контроля безопасности, такие как система SIEM, для автоматизации первоначальной обработки и создания достаточного контекста для принятия решения о необходимости немедленного расследования оповещения.
• Чтобы освободить SOC от рутинных задач по обработке оповещений, можно использовать проверенную управляемую службу обнаружения и реагирования, например, Kaspersky Extended Detection and Response (XDR) — многоуровневую технологию безопасности, которая помогает защитить ИТ-инфраструктуру.