עומס יתר קוגניטיבי: איום אבטחת הסייבר הנסתר

המאמר הבא לא מתמקד בתחקור ותהליך תגובה לאירוע, או בטכניקות עקיפה מול הענן או כל נושא טכני אחר, אלא בדבר חשוב יותר, אנשים ומצב קיים! המאמר הבא מתמקד ומעלה סוגיות של עומס יתר קוגנטיבי בצוותי אבטחה ובפרט באנליסטים.

תחום אבטחת המידע והגנת הסייבר עבר שינויים רבים בשנים האחרונות, זה התחיל באמצע 2017 עם האירוע של Not Petya ואירועים נלווים שקרו באותה תקופת זמן, ובפרט המגיפה (Covid-19) האחרונה – אלה ורבים אחרים יצרו סחרור סביב התחום, לצד הבנה נדרשת של הסיכון (כולל העסקי) הטמון בו הוא יצר בצוותי האבטחה בעיות מסוימות, כמו, שחיקה, עייפות ובפרט עומס קוגנטיבי.

כידוע, צוותי אבטחת מידע והגנת הסייבר וכל מי שמתעסק בתחום האבטחה מכיר את השיח והדיון סביב שחיקה ועייפות, ויש על כך אינספור מאמרים ברשת. לראייה, צוותי אבטחה ובפרט אנליסטים מבלים את זמנם בטיפול בהודעות סלאק/טימס, בניתוח נתונים ובניהול טיקטים – תהליך עבודה מעייף וחסר ערך שמוביל לשחיקה.

בין אם מדובר בסגירת טיקטים, מעקב וטיפול אחר בעיות פתוחות, ניתוח אינסופי של נתונים, מענה להודעות בערוצי הקולבורציה השונים, טיפול בהתראות ותגובה לסוגיות מתפרצות של היומיום, צוותי אבטחה ובפרט אנליסט מבלה את רוב יומו עמוק בעולם של מספרים, טיקטים ופעילויות סרק. מהר מאוד, אפשר להבחין שסביבה כזאת אשר נמשכת לאורך זמן מובילה לשחיקה, ויש תורם אחד גדול: עומס קוגניטיבי!

עומס יתר קוגניטיבי מתרחש כאשר נדרש מצוותי אבטחה ונאליסטים לעשות אינספור משימות, לקלוט יותר מדי מידע, להיות מומחים באינספור כלים, לבצע יותר מדי משימות סרק ולהגיב לכל סוגיה בפרקי זמן קצרים מידי. כאשר מדובר באנליסטים זה בדרך כלל נופל בין היתר על התחומים הבאים:

– עומס פנימי שאינו טכני ונוגע בתרבות ארגונית, למשל, בירוקרטיה כבדה או תהליך שאינו תקין.
– עומס פנימי עם חיבור למידע טכני מורכב לביצוע פעילויות תגובה לתקריות.
– עומס מנטלי עם אחריות כבדה שנופלת על צוותי SOC וההבנה שאירוע יכול לגרום לנזק הרסני לארגון.
– עומס חיצוני שנובע מהבנה של סיכוני אבטחה.
– הצורך בלמידה מתמשכת ומרדף אחר טכנולוגיות.

בשנים האחרונות אפשר להבחין בעובדה שאירוע אבטחה רציני ולא גדול יכול להביא צוותי אבטחה ואנליסטים לעומס מנטלי, לעייפות מוגברת ולירידה בביצועים. בתקופה שלאחר מכן, לוקח זמן לצוותי האבטחה לחזור לשגרה תקינה.

היכן העומס מורגש? אם ניקח למשל אנליסט אבטחה, אז רוב זמנו הוא עוסק בסינון נתונים, מענה לבעיות מתפרצות, שיחות צוות, סוגיות צדדיות – במצב כזה אין טיפול בבעיות מרכזיות, ולכן אירועי אבטחה נעלמים מהמסך.

בסופו של דבר, עומס קוגניטיבי מוביל לרמות ביצועים ירודות, חוסר מיקוד ואפילו חוסר הגשמה עצמית. לכך עלולות להיות השלכות מזיקות במיוחד בתחום אבטחת הסייבר, שם סיכונים, איומים, תקיפות ואירועי אבטחה עולים מידי שנה בעשרות אחוזים, למשל, בדוח של Verizon 2022 DBIR אפשר לראות שמתקפות כופר עלו ב-13% משנה לשנה – יותר מחמש השנים האחרונות גם יחד.

השלכות ותוצאות לא מאחרות להגיע וקצת פחות ממחצית מאנשי הסייבר הבכירים שקלו לפרוש מהתעשייה לחלוטין בגלל לחץ. הסקר השנתי של Voice of SecOps מגלה רמות מתח מוגברות ובלתי רגילות, ומצא כי 45% מהנשאלים מודים כי שקלו לפרוש מהענף. כולנו מכירים את הטרנדים של התפטרות שקטה ויש גם את ההתפטרות הגדולה של אבטחת הסייבר. הסקר מביא נקודות עניין מהותיות בתחום.

כדי לענות על הצרכים של כוח העבודה הקריטי הזה – ולמלא את הפערים וחוסר באנשים – חברות חייבות לשים לב לצוותי אבטחה ובפרט לאנליסטים ולשים את העומס הקוגניטיבי בראש סדר העדיפויות. כיום, היא נובעת משתי סוגיות מרכזיות:

מאבדים את הכיוון – ראשית, ארגונים בדרך כלל חסרים כיוון באבטחת סייבר, מה שמטיל על צוותי אבטחה ובפרט על האנליסטים משימה רחבה ומרתיעה: להגן על התשתית הארגונית. זה מופשט מדי ומשאיר אותם לא בטוחים לגבי אופי התפקיד והאחריות שלהם. אי-הוודאות הזאת גרמה לעליית רמות הלחץ, וצוותי אבטחה בהחלט יכולים להפיק תועלת מהכוונה והדרכה המגדירים את תפקידם ואת סדרי העדיפויות העליונים שלהם בתוכנית האבטחה הארגונית.

מבנה המשימה ומדדי הלחץ מתוך הפוסט של עליית רמות הלחץ.

לעשות הכל – שנית, הנטייה בקרב אנליסטים טכנולוגיים “להגן על התשתית” יכולה לעיתים רבות להכריע את הצוות. החל מהבעיה הגדולה של ריבוי כלים וטכנולוגיות וכלה בעודף רציני של נתונים, עודף המידע הזה יכול לעכב יותר ממה שהוא עוזר. רוב הגישות של SIEM נוטות “לאסוף את כל המידע ולמיין אותו”, כלומר חלק גדול מהנתונים אינם משמשים למטרות שלהם הוא נולד: תחקור אירועים, שיפור זיהוי אירועים והבנת מיקונפיגורציה בתשתיות.

בהתחשב בבעיות אלה, יש כמה דרכים לתמוך טוב יותר בצוותי אבטחת סייבר ולהפחית את המקורות הנפוצים ביותר של עומס קוגניטיבי.

אסטרטגיה ברורה ומבנה צוות

האם צוותי אבטחת המידע והגנת הסייבר יודעים מהי האסטרטגיה של אבטחת המידע בארגון? מעבר למטרה של “להגן על הארגון”.

ארגונים יכולים להילחם בעומס קוגניטיבי על ידי קביעת אסטרטגיית אבטחת סייבר ברורה עבור הצוות ולהקפיד על כך. צוותי אבטחה ואנליסטים צריכים להבין היטב את תפקידם, את תחומי האחריות והמטרות שלהם, והיכן הם משתלבים באסטרטגיה הרחבה יותר. כך, במקום להרגיש כמו כמה עשרות עובדים האחראים על הגנה של ארגון של עשרות אלפי משתמשים, הם רואים את עצמם כמכפיל כוח מובנה. לכן, הקצו תחומי עניין מפורטים של תשתית לצוותים, כדי לאפשר להם להתמקד בכלים וטכנולוגיות ספציפיים.

ביסוס אסטרטגיה כזה יכול לתת מענה חלקי מול הבעיה של הדלת המסתובבת הנוכחית של העובדים. חשוב להכיר בכך שצוותים חשובים הרבה יותר מהאסטרטגיה, ולכן היא חייבת לכלול הכשרת עובדים. במקרים רבים המשמעויות הם שארגונים חייבים וצריכים להשהות חלק מהפעילויות כדי לאפשר תהליך הכשרה תקין – דבר שישתלם בטווח הארוך.

אנשים עוצרים אירועי אבטחה ולא כלים. כבר מזמן קיימת תפיסה מוטעית שכלי או מוצר יחיד אחד יכול לבצע את העבודה. למרות שכלים אלה יכולים לשתף נתונים משמעותיים, אנליסטים אחראים לפרש את הנתונים ולקבל את כל ההחלטות הסופיות. לעתים קרובות, הם מדווחים שהם מסתכלים על יותר מדי מערכות או נאבקים עם חוויות אנליסט מורכבות מדי. קבלת המשוב שלהם וחיתוך כלים חיצוניים או מציאת השילוב הנכון של כלים יכולים לעזור לפתור את האתגרים האלה.

חשוב גם לזהות כמה רעש מגיע מתוך מערכות נלוות כמו מערכות קולאבורציה (סלאק, טימס ועוד) – ולהמשיך במחשבה בעת תקשורת יומיומית של צוותי אבטחה. עוד טכנולוגיה לא תפתור את הבעיה אז תקשיבו למה שיש לצוותים ולאנליסטים לומר!

בחלק הזה של אנשים, תהליכים וטכנולוגיות (PPT) ועם טכנולוגיה כתמיכה, אנשים הם עמוד השדרה של כל תוכנית אבטחת סייבר, וזה לעתים קרובות מתיש. איומי סייבר או קבוצות תקיפה לא לוקחים חופשות קיץ או ימי מחלה, אבל אנשים צריכים לעשות זאת – במיוחד צוותי אבטחת סייבר. יש למנוע מהם עומס יתר קוגניטיבי על-ידי לקיחת זמן מה מהעבודה לחלוטין. מובילי תחום ומנהלים צריכים להבין את צוותי אבטחת הסייבר שלהם, לעודד אותם לקחת נשימה ולהבין את הצרכים שלהם כדי לעזור להפחית את העומס במידת האפשר.

לסיכום

הגישה של הפחתת עומס קוגנטיבי מסמנת שהארגון הציב את בריאותם הנפשית של הצוות בראש סדר העדיפויות ומסייעת להם לזהות מתי הם מתקרבים לקצה ולשחיקה. זמן שהוקדש יכול לעזור להפוך את המשימות היומיומיות שלהם למספקות יותר, ובסופו של דבר, תרבות מסוג זה עוזרת לבנות הבנה משותפת של הסיבות לכך שצוותים נמצאים שם ומה הם צריכים להשיג.

אפילו עם אסטרטגיות אלה, מומחי אבטחה תמיד ימצאו את העבודה באבטחת סייבר מאתגרת. הצורך בכישרונות גדל בהתמדה, תוקפים ושחקנים נעשים חכמים יותר, ולכן מומחי אבטחת סייבר תמיד יצטרכו להמשיך להסתגל. יחד עם זאת, זה גם המקום שבו רבים מוצאים הגשמה גדולה, ואני יכול להעיד על כך באופן אישי.

חשוב להדגיש כי רוב הארגונים הולכים על חבל דק בין מלחיץ למאתגר, אבל יש הרבה פעולות שהם יכולים לעשות כדי להבטיח שהם יישארו איתנים. בתקופה שבה כישרונות אבטחת סייבר הפכו קריטיים יותר מתמיד, הפחתת הלחץ שלהם – והגורמים המובילים לשחיקה – חייבת להישאר בראש סדר העדיפויות. התחילו בהתמקדות בעומס יתר קוגניטיבי: הקימו תוכנית אבטחת סייבר, צמצמו כלים עודפים ומעל לכל, הקשיבו לצוותי אבטחה ותשקיעו באנשים!!!

משהו מהצד שלי. ביומיום אני מוביל צוות תקיפה וצוות תחקור ותגובה, מוביל קהילה טכנולוגית, משתף ידע ועונה בקבוצות, כותב מאמרים ומסייע לאנשים בתחום – הרבה עניינים ועומס רציני. שאני נשאל מאיפה אני מוצא את האנרגיות, יצירתיות, שאיפות ומוטיבציה, אז התשובה היא: התנתקות מהיומיום באופן תדיר. כל אחד יכול למצוא את המקום להתנתק בו, ואצלי זה במקום הכי נמוך בעולם שלעיתים משתלב עם איזה רייב.