莫让“倦怠”成为威胁网络安全的拦路虎
编辑搜图
随着2021年的数据泄露量再飙新高,2022年安全团队面临的压力势必进一步加剧。对于企业组织来说,试图管理日益严峻的网络安全威胁并非唯一棘手的事情,员工的高流失率同样给了他们致命一击。
2022年,雇主们在网络安全方面可谓陷入了两难境地——一方面,全球网络攻击数量不断激增;另一方面,招聘市场趋紧,人才缺口持续扩大,更糟糕的是,员工流失率也达到了前所未有的水平。
这场人才争夺战可能会对网络安全造成尤为严重的打击。根据威胁情报公司ThreatConnect针对500多名IT决策者的调查结果显示,50%的私营部门企业中已经存在严重的IT安全技能(基础型和技术型)人才缺口。更重要的是,32%的IT管理者及25%的IT主管正考虑在未来六个月内辞去工作,这也致使雇主面临招聘、管理和IT安全等一系列问题。
许多员工被更高的薪酬和更灵活的工作安排所吸引,但过度的工作量和绩效压力也在造成人员流失。根据ThreatConnect的研究发现,27%的受访者表示,高压力是导致员工离职的三大因素之一。
“倦怠”正在威胁网络安全
“倦怠”正在以多种方式威胁网络安全。首先,在员工方面:“人为错误”是组织中数据泄露的最大原因之一,而导致数据泄露或遭受网络钓鱼攻击的风险,只会在员工压力过大和筋疲力尽时才会进一步增加。
Tessian和斯坦福大学在2020年进行的一项研究发现,88%的数据泄露事件是由人为错误造成的。近半数(47%)将“分心”列为网络钓鱼诈骗的首要原因,而44%则归咎于疲倦或压力。
为什么疲倦和压力具有如此“威力”?因为当人们感到压力或筋疲力尽时,他们的认知负荷会不堪重负,这也使得发现网络钓鱼攻击的迹象变得更加困难。
威胁行为者也深知这一点,他们不仅在进一步加强鱼叉式网络钓鱼活动的复杂性,还习惯选在员工情绪低迷的下午发送攻击。根据数据显示,大多数网络钓鱼攻击都是在下午2点到6点之间发动的。
Info-Tech Research Group的首席研究顾问Carlos Rivera表示,不应忽视或低估倦怠对于增加企业遭受网络钓鱼攻击方面所起的作用。因此,作为组织安全意识计划的一部分,创建网络钓鱼模拟计划是一种很好的做法。
Rivera表示,“该计划可以通过每年实施一小时的培训来优化,也可以将其划分为每月5分钟或每季度15分钟的培训课程。为了最大化培训效果,建议将课程定位为基于当前事件的主题,具体表现为黑客使用的策略、技术和程序(TTP)。”
分析机构Gartner最近发布的一份报告认为,网络安全领导者的角色需要从“主要处理IT部门内部风险”重新构建为“负责制定高管级别的信息风险决策,并确保业务领导者具有全面网络安全知识”。
Gartner预测,到2026年,50%的C级高管将在其雇佣合同中包含与网络安全风险相关的绩效要求。这意味着网络安全领导者未来将减少许多IT决策的直接控制权。
Gartner研究总监Sam Olyaei表示,“网络安全领导者一直在超荷载运作,几乎处于‘永远在线’的模式。造成这种现象的部分原因在于,过去十年间,组织内部利益相关者的期望越来越不一致,网络安全领导者必须变得越来越有弹性。”
根据Tessian的研究数据显示,安全领导者每周平均加班11小时,十分之一的领导者每周加班24小时。他们把大部分时间都花在了调查和补救员工错误造成的威胁上。即便到了下班时间,高达60%的CISO仍因压力而被迫加班。
企业组织是时候重视倦怠对安全团队以及对更广泛组织的连锁反应了。试想一下,如果CISO正在经历这种程度的倦怠,这将对更广泛的组织以及与他们一起工作的人产生何种影响。如果团队经常处于倦怠状态,关键时刻您将丧失可用之人。
“美化”中的过度劳累
不得不提的一点是,围绕网络安全的文化也需要改变,它正在错误地倡导“加班文化”和为了企业而牺牲个人福祉。
作为安全领导者,最激动人心的一些故事包括通宵达旦地保卫组织或调查威胁。但我们常常不愿意承认,对英雄主义的需求通常预示着一种失败的状态,它是不可持续的。
作为领导者,CISO需要以身作则并以“可持续的运营”为目标建立他们的团队。当你下班了,你就是下班了,并努力让整个团队都感受到这种可持续性文化。
Rivera指出,远程工作的日益普及可能会加剧员工工作时间延长的趋势,这可能导致倦怠、不明原因的缺勤,甚至在某些情况下,人员流动率高于预期。
为此,安全和技术团队应该与其他部门合作,让组织意识到倦怠和过度工作的危害性,这可以帮助管理人员在公司内部灌输一种弹性文化。
缓解建议
缓解网络安全倦怠现状的方法包括,在开发环境中采用“左移(left-shift)思维方式”。倦怠和压力会导致错误有机可乘,并进入已发布的代码之中,在开发过程中尽早引入安全性并利用工具来自动化和支持这一目标,可以降低组织面临的风险。
在技术方面,构建持续改进/持续交付(CI/CD)管道以及部署集成开发环境(IDE)等工具将为组织提供绝佳机会。IDE将由源代码编辑器、调试器和构建自动化工具组成,为开发人员提供自助服务功能并近乎实时地识别错误。IDE与静态分析安全测试和自动进入构建管道的开源扫描相结合,将提供有效的漏洞缓解方案。
与其他任何工作职能一样,沟通也很重要。CISO需要清楚地表达在当前拥有的资源和限制条件下,无法做到一些事情,为更广泛的组织开创先例,带动全组织范围内的“可持续性文化”。
安全行业存在这种不幸的“英雄主义”趋势——这种心态必须改变。
我有话说: