如何減輕CISO及其團隊工作量

「安全」和「OT」幾近拉上了等號,根據最近的問卷調查,5個CISO中就有1個每星期工作65小時,而非合約列明的38或40小時,每星期平均超時工作16小時,其他資安員工也有類似情況,如果想改善情況,不妨先從最佔時間的工作著手。

安全警告

最理所當然地獲得「最花時間」冠軍寶座的必定是由公司IT和資安系統產生的警告,由於系統數量眾多,他們產生數以千計的event需要處理,每名保安專家每小時需要檢視23宗警告,有38%受訪者表示即使晚上仍然需要繼續處理。

建議

  • 盡量使用相同公司的方案,中央管理平台綜合警告系統以降低警告的數量和提升處理速度。
  • 採用自動化方案,例如XDR方案自動執行典型分析和回應情況,透過合併不同event為單一incident以減少警告。
  • 考慮MSSP、MDR或商用SoC,這是最有效靈活擴展警報處理,全職團隊成員將會專注於建立整體安全和調查複雜事件。

有警告的電郵

來自供應商、監管機構的通知,以及保安系統透過電郵發送訊息給資安團隊,通常這是個共享的信箱,相同訊息被幾位員工閱覽,包括CISO,每星期可能花費5至10小時。

建議

  • 盡量把警告移交到專門系統,如果保安系統能發送警告到SIEM或dashboard,總比電郵好。
  • 使用自動化系統,部份典型電郵分析可透過簡script進行,並轉化到dashboard內的警告,不適用的電郵會就緊急性和主題評分,再移到特定資料夾或派到給特定員工,此工作無需AI機械人,電郵處理規則或簡單script就能辦妥,此舉能顯著降低需要閱覽和全人手處理的電郵數量。

員工標記的電郵

如果公司有推行資安培訓或受到嚴重攻擊,很多員工會考慮把可疑電郵轉寄給資安團隊,這類員工越多,郵箱就越快爆滿。

建議

  • 電郵gateway等級使用可靠的保護方案,可顯著減少真的網絡釣魚電郵,透過專門防禦機制也能防範精密的針對性攻擊,同時對高警覺性的員工沒有影響。
  • 如果電郵保安方案容許用戶「報告可疑電郵」,指示同事使用這功能就無需手動處理有關的警告。
  • 設立專門的電郵地址專為接收員工發過來的可疑電郵,避免與其他安全警告混在一起。
  • 如果報告可疑電郵功能並不可行,專注於搜尋特定郵箱內已知的安全電郵,通常停了很大比例,然後資安團隊只需檢真真正危險的電郵。

禁止、風險評估和風險談判

CISO工作的一部份,就是必需在資訊安全、營運效率、法規遵守和資源限制中取得平衡,要提升安全,資安團隊經常禁止某些技術、網上服務和資料儲存方式等等,儘管是必需和無可避免,也應該定期檢討對機構的影響和機構如何適應,矯枉過正只會浪費寶貴時間,先協說「不應該做的事」,然後找出處理方法,再解決不可避免的事件和問題。

建議

  • 避免過度禁止,越多禁制便需要越多時間去監管。
  • 與主要用戶保持開放的對話,瞭解資安管制如何影響他們的運作和表現,透過調節技術和流程去避免有關問題。
  • 為經常性的業務請求制訂標準文件和場景,為重要部門準備簡單和可預計的方法去解決他們的業務問題,並完全遵守資安規定。
  • 逐個業務要求個案都獨立處理,有強的資安文化可減少安全審核的密度,可大大減少業務與資安團隊的支出。

檢查表、報告和指導文件

大量時間花費在填寫審計和規範部門的表格的「紙面安全」上,以檢查監管文件和實踐當中的適用性,資安團蘟也可能被要求向合作伙伴提供訊息,越來越多機構關注供應鏈風險,要求對方有穩建的資訊安全。

建議

  • 投資時間和精力在創建「可重用」的文件,例如全面的保安白皮書、PCI合規報告,或SOC2審計,這些文件不但有助符合規定,也能對典型的要求作出快速回應。
  • 雇用專人或培訓團隊某人去處理以上提及的有關工作
  • 採用自動化流程,不但把日常管理操作交到機器手上,也能正確地記錄在案。

選擇合適保安技術

資安技術日新月異,盡量買最多方案不但增加預算和大量警告通知,採購新方案前的評估也需要大量人力,部署時亦要花費大量時間。

建議

  • 盡量減少使用資安供應商的數量,長遠來看單一供應商能改善表現。
  • 購買方案時包含系統整合商、VAR或其他合作伙伴參與評估和測試,經驗豐富的伙伴能迅速淘汰不適合的方案。

安全培訓

雖然可以為所有員工提供強制資安培訓,但不當的部署也會令資安團隊工作量大增,典型情況是所有培訓由設計到執行都自家製作,而且是否為員工等級而訂製直接影響成效。

建議

  • 使用自動化平台對員工進行培訓,簡單客製內容能針對行業或特定部門,結合訓練與測驗,透過遊戲化增加員工投入怠令計劃成功率提高。

資料來源:Kaspersky Blog