ผู้เชี่ยวชาญด้านความปลอดภัยก็มีความเสี่ยงที่จะได้รับภาระงานมากเกินไปเช่นกัน

สำหรับผู้ที่ทำงานด้านความปลอดภัยของข้อมูล เช่น ในศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ลักษณะงานซ้ำซากอาจทำให้เกิดภาวะหมดไฟได้ ซึ่งไม่เพียงแต่เป็นอันตรายต่อพวกเขาเท่านั้น แต่ยังเป็นอันตรายต่อองค์กรที่พวกเขาทำงานด้วย

โดยพื้นฐานแล้ว งานนี้เกี่ยวข้องกับการค้นหาความผิดปกติในข้อมูลขาเข้าทุกวัน เมื่อตรวจพบความผิดปกติ ชีวิตประจำวันจะเปลี่ยนแปลงไปเล็กน้อย เนื่องจากมีเหตุการณ์ที่ต้องตรวจสอบ ข้อมูลที่ต้องรวบรวม และการประเมินความเสี่ยงและความเสียหายที่ต้องทำ อย่างไรก็ตาม เหตุการณ์ทางไซเบอร์ครั้งใหญ่มักเกิดขึ้นกับบริษัทที่มีโซลูชันขั้นสูงเพื่อปกป้องเซิร์ฟเวอร์ เวิร์กสเตชัน และโครงสร้างพื้นฐานสารสนเทศทั้งหมด

จากการศึกษาล่าสุดที่ดำเนินการโดย Enterprise Strategy Group ซึ่งได้รับมอบหมายจากบริษัทรักษาความปลอดภัย Kaspersky พบว่าองค์กร 70% ยอมรับว่ากำลังประสบปัญหาในการรับมือกับปริมาณการแจ้งเตือนด้านความปลอดภัย

จากการวิจัย ESG พบว่า นอกจากจำนวนการแจ้งเตือนแล้ว ความหลากหลายของการแจ้งเตือนยังเป็นความท้าทายอีกประการหนึ่งสำหรับองค์กรถึง 67% สถานการณ์เช่นนี้ทำให้นักวิเคราะห์ SOC ยากที่จะมุ่งเน้นไปที่งานที่สำคัญและซับซ้อนมากขึ้น บริษัท 34% ที่มีทีมงานด้านความปลอดภัยทางไซเบอร์ต้องรับมือกับการแจ้งเตือนและปัญหาด้านความปลอดภัยเร่งด่วนจำนวนมาก กล่าวว่าพวกเขาไม่มีเวลาเพียงพอในการปรับปรุงกลยุทธ์และกระบวนการ

“ผู้เชี่ยวชาญของเราคาดการณ์ว่าข้อมูลข่าวกรองภัยคุกคามไซเบอร์และการตามล่าภัยคุกคามจะเป็นองค์ประกอบสำคัญของกลยุทธ์ SOC ใดๆ ก็ตาม แต่สถานการณ์ปัจจุบันที่นักวิเคราะห์ SOC ทุ่มเทเวลา ทักษะ และพลังงานไปกับการจัดการ IoC ที่มีคุณภาพต่ำ และต่อสู้กับการแจ้งเตือนที่ไม่จำเป็น แทนที่จะไล่ล่าภัยคุกคามที่ซับซ้อนและตรวจจับได้ยากในโครงสร้างพื้นฐาน ไม่เพียงแต่เป็นแนวทางที่ไม่มีประสิทธิภาพเท่านั้น แต่ยังนำไปสู่ภาวะหมดไฟอย่างหลีกเลี่ยงไม่ได้อีกด้วย” เยียว เซียง เตียง ผู้จัดการทั่วไป Kaspersky Southeast Asia กล่าว

เพื่อปรับปรุงการทำงานของ SOC และหลีกเลี่ยงความเหนื่อยล้าจากการแจ้งเตือน Kaspersky ได้แบ่งปันวิธีการป้องกันบางประการดังต่อไปนี้:

• จัดกะการทำงานภายในทีม SOC เพื่อหลีกเลี่ยงการทำงานหนักเกินไปของบุคลากร ตรวจสอบให้แน่ใจว่างานสำคัญทั้งหมดได้รับการมอบหมายให้กับบุคลากร เช่น การตรวจสอบ การสืบสวน วิศวกรรมไอที การกำกับดูแลสถาปัตยกรรม และการจัดการ SOC โดยรวม
• มาตรการต่างๆ เช่น การโอนย้ายและการหมุนเวียนภายใน ตลอดจนการทำให้การดำเนินการตามปกติเป็นแบบอัตโนมัติและการจ้างผู้เชี่ยวชาญด้านการติดตามข้อมูลภายนอก สามารถช่วยแก้ไขปัญหาภาระงานของพนักงานได้
• การใช้บริการข่าวกรองภัยคุกคามที่ได้รับการพิสูจน์แล้ว ช่วยให้สามารถรวมข่าวกรองที่อ่านได้ด้วยเครื่องเข้ากับการควบคุมความปลอดภัยที่มีอยู่ เช่น ระบบ SIEM เพื่อทำให้การประมวลผลเบื้องต้นเป็นแบบอัตโนมัติ และสร้างบริบทที่เพียงพอเพื่อตัดสินใจว่าควรตรวจสอบการแจ้งเตือนทันทีหรือไม่
• เพื่อช่วยให้ SOC เป็นอิสระจากงานการจัดการการแจ้งเตือนแบบกิจวัตร สามารถใช้บริการตรวจจับและตอบสนองที่ได้รับการจัดการที่ได้รับการพิสูจน์แล้ว เช่น Kaspersky Extended Detection and Response (XDR) ซึ่งเป็นเทคโนโลยีความปลอดภัยหลายชั้นที่ช่วยปกป้องโครงสร้างพื้นฐานด้าน IT