สำหรับผู้ที่ทำงานด้านความปลอดภัยของข้อมูล เช่น ในศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ลักษณะการทำงานที่ซ้ำซากจำเจอาจทำให้เกิดภาวะหมดไฟได้ ซึ่งไม่เพียงแต่เป็นอันตรายต่อตัวบุคคลเท่านั้น แต่ยังเป็นอันตรายต่อองค์กรที่บุคคลนั้นทำงานอยู่ด้วย

โดยพื้นฐานแล้ว งานนี้เกี่ยวข้องกับการค้นหาสิ่งผิดปกติในข้อมูลขาเข้าทุกวัน เมื่อตรวจพบสิ่งผิดปกติ กิจวัตรประจำวันจะเปลี่ยนไปเล็กน้อย เนื่องจากมีเหตุการณ์ที่ต้องตรวจสอบ ข้อมูลที่ต้องรวบรวม และการประเมินความเสี่ยงและความเสียหายที่ต้องทำ อย่างไรก็ตาม เหตุการณ์ทางไซเบอร์ครั้งใหญ่มักเกิดขึ้นกับบริษัทที่มีโซลูชันขั้นสูงเพื่อปกป้องเซิร์ฟเวอร์ เวิร์กสเตชัน และโครงสร้างพื้นฐานด้านข้อมูลทั้งหมด

ในการศึกษาล่าสุดซึ่งดำเนินการโดย Enterprise Strategy Group ที่ได้รับมอบหมายจากบริษัทรักษาความปลอดภัย Kaspersky พบว่าองค์กร 70% ยอมรับว่าประสบปัญหาในการติดตามปริมาณการแจ้งเตือนด้านความปลอดภัย

นอกเหนือจากปริมาณแล้ว ความหลากหลายของการแจ้งเตือนยังเป็นความท้าทายอีกประการสำหรับองค์กร 67% ตามการวิจัยของ ESG สถานการณ์ดังกล่าวทำให้ผู้วิเคราะห์ SOC มีปัญหาในการมุ่งเน้นไปที่งานที่สำคัญและซับซ้อนมากขึ้น บริษัท 34% ที่มีทีมงานด้านความปลอดภัยทางไซเบอร์ต้องเผชิญกับการแจ้งเตือนด้านความปลอดภัยที่เร่งด่วนและปัญหาต่างๆ กล่าวว่าพวกเขาไม่มีเวลาเพียงพอในการปรับปรุงกลยุทธ์และกระบวนการของตน

“ผู้เชี่ยวชาญของเราคาดการณ์ว่าข้อมูลข่าวกรองภัยคุกคามทางไซเบอร์และการตามล่าหาภัยคุกคามจะเป็นองค์ประกอบสำคัญของกลยุทธ์ SOC แต่สถานการณ์ปัจจุบันที่นักวิเคราะห์ SOC ใช้เวลา ทักษะ และพลังงานไปกับการจัดการ IoC ที่มีคุณภาพต่ำและต่อสู้กับการแจ้งเตือนที่ไม่จำเป็นแทนที่จะตามล่าหาภัยคุกคามที่ซับซ้อนและตรวจจับได้ยากในโครงสร้างพื้นฐานนั้น ไม่เพียงแต่เป็นแนวทางที่ไม่มีประสิทธิภาพเท่านั้น แต่ยังทำให้เกิดความเหนื่อยล้าอย่างหลีกเลี่ยงไม่ได้อีกด้วย” Yeo Siang Tiong ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ของ Kaspersky กล่าว

เพื่อปรับปรุงการทำงานของ SOC และหลีกเลี่ยงความเหนื่อยล้าจากการแจ้งเตือน Kaspersky ได้แบ่งปันวิธีการป้องกันบางประการดังต่อไปนี้:

• จัดเตรียมการทำงานกะภายในทีม SOC เพื่อหลีกเลี่ยงการทำงานหนักเกินไปของพนักงาน ตรวจสอบให้แน่ใจว่างานสำคัญทั้งหมดได้รับมอบหมายให้กับบุคลากร เช่น การตรวจสอบ การสืบสวน การกำกับดูแลด้านวิศวกรรมและสถาปัตยกรรมไอที และการจัดการ SOC โดยรวม
• มาตรการต่างๆ เช่น การโอนและการหมุนเวียนภายใน รวมไปถึงการทำให้การดำเนินการตามปกติเป็นไปโดยอัตโนมัติและการตรวจสอบข้อมูลภายนอก สามารถช่วยแก้ไขปัญหาภาระงานของพนักงานได้
• การใช้บริการข่าวกรองด้านภัยคุกคามที่ได้รับการพิสูจน์แล้วทำให้สามารถรวมข่าวกรองที่อ่านได้ด้วยเครื่องเข้ากับการควบคุมความปลอดภัยที่มีอยู่ เช่น ระบบ SIEM เพื่อทำให้การประมวลผลเบื้องต้นเป็นแบบอัตโนมัติ และสร้างบริบทที่เพียงพอในการตัดสินใจว่าจะตรวจสอบการแจ้งเตือนทันทีหรือไม่
• เพื่อช่วยให้ SOC เป็นอิสระจากงานจัดการการแจ้งเตือนแบบเดิมๆ อาจใช้บริการตรวจจับและตอบสนองที่ได้รับการจัดการที่ได้รับการพิสูจน์แล้ว เช่น Kaspersky Extended Detection and Response (XDR) ซึ่งเป็นเทคโนโลยีความปลอดภัยหลายชั้นที่ช่วยปกป้องโครงสร้างพื้นฐานด้าน IT