信息化觀察網(wǎng)

隨著2021年的數(shù)據(jù)泄露量再飆新高，2022年安全團(tuán)隊(duì)面臨的壓力勢(shì)必進(jìn)一步加劇。對(duì)于企業(yè)組織來(lái)說(shuō)，試圖管理日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅并非唯一棘手的事情，員工的高流失率同樣給了他們致命一擊。

2022年，雇主們?cè)诰W(wǎng)絡(luò)安全方面可謂陷入了兩難境地——一方面，全球網(wǎng)絡(luò)攻擊數(shù)量不斷激增；另一方面，招聘市場(chǎng)趨緊，人才缺口持續(xù)擴(kuò)大，更糟糕的是，員工流失率也達(dá)到了前所未有的水平。

這場(chǎng)人才爭(zhēng)奪戰(zhàn)可能會(huì)對(duì)網(wǎng)絡(luò)安全造成尤為嚴(yán)重的打擊。根據(jù)威脅情報(bào)公司ThreatConnect針對(duì)500多名IT決策者的調(diào)查結(jié)果顯示，50%的私營(yíng)部門企業(yè)中已經(jīng)存在嚴(yán)重的IT安全技能（基礎(chǔ)型和技術(shù)型）人才缺口。更重要的是，32%的IT管理者及25%的IT主管正考慮在未來(lái)六個(gè)月內(nèi)辭去工作，這也致使雇主面臨招聘、管理和IT安全等一系列問題。

許多員工被更高的薪酬和更靈活的工作安排所吸引，但過度的工作量和績(jī)效壓力也在造成人員流失。根據(jù)ThreatConnect的研究發(fā)現(xiàn)，27%的受訪者表示，高壓力是導(dǎo)致員工離職的三大因素之一。

“倦怠”正在威脅網(wǎng)絡(luò)安全

“倦怠”正在以多種方式威脅網(wǎng)絡(luò)安全。首先，在員工方面：“人為錯(cuò)誤”是組織中數(shù)據(jù)泄露的最大原因之一，而導(dǎo)致數(shù)據(jù)泄露或遭受網(wǎng)絡(luò)釣魚攻擊的風(fēng)險(xiǎn)，只會(huì)在員工壓力過大和筋疲力盡時(shí)才會(huì)進(jìn)一步增加。

Tessian和斯坦福大學(xué)在2020年進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，88%的數(shù)據(jù)泄露事件是由人為錯(cuò)誤造成的。近半數(shù)（47%）將“分心”列為網(wǎng)絡(luò)釣魚詐騙的首要原因，而44%則歸咎于疲倦或壓力。

為什么疲倦和壓力具有如此“威力”？因?yàn)楫?dāng)人們感到壓力或筋疲力盡時(shí)，他們的認(rèn)知負(fù)荷會(huì)不堪重負(fù)，這也使得發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊的跡象變得更加困難。

威脅行為者也深知這一點(diǎn)，他們不僅在進(jìn)一步加強(qiáng)魚叉式網(wǎng)絡(luò)釣魚活動(dòng)的復(fù)雜性，還習(xí)慣選在員工情緒低迷的下午發(fā)送攻擊。根據(jù)數(shù)據(jù)顯示，大多數(shù)網(wǎng)絡(luò)釣魚攻擊都是在下午2點(diǎn)到6點(diǎn)之間發(fā)動(dòng)的。

Info-Tech Research Group的首席研究顧問Carlos Rivera表示，不應(yīng)忽視或低估倦怠對(duì)于增加企業(yè)遭受網(wǎng)絡(luò)釣魚攻擊方面所起的作用。因此，作為組織安全意識(shí)計(jì)劃的一部分，創(chuàng)建網(wǎng)絡(luò)釣魚模擬計(jì)劃是一種很好的做法。

Rivera表示，“該計(jì)劃可以通過每年實(shí)施一小時(shí)的培訓(xùn)來(lái)優(yōu)化，也可以將其劃分為每月5分鐘或每季度15分鐘的培訓(xùn)課程。為了最大化培訓(xùn)效果，建議將課程定位為基于當(dāng)前事件的主題，具體表現(xiàn)為黑客使用的策略、技術(shù)和程序（TTP）。”

分析機(jī)構(gòu)Gartner最近發(fā)布的一份報(bào)告認(rèn)為，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的角色需要從“主要處理IT部門內(nèi)部風(fēng)險(xiǎn)”重新構(gòu)建為“負(fù)責(zé)制定高管級(jí)別的信息風(fēng)險(xiǎn)決策，并確保業(yè)務(wù)領(lǐng)導(dǎo)者具有全面網(wǎng)絡(luò)安全知識(shí)”。

Gartner預(yù)測(cè)，到2026年，50%的C級(jí)高管將在其雇傭合同中包含與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的績(jī)效要求。這意味著網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者未來(lái)將減少許多IT決策的直接控制權(quán)。

Gartner研究總監(jiān)Sam Olyaei表示，“網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者一直在超荷載運(yùn)作，幾乎處于‘永遠(yuǎn)在線’的模式。造成這種現(xiàn)象的部分原因在于，過去十年間，組織內(nèi)部利益相關(guān)者的期望越來(lái)越不一致，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須變得越來(lái)越有彈性。”

根據(jù)Tessian的研究數(shù)據(jù)顯示，安全領(lǐng)導(dǎo)者每周平均加班11小時(shí)，十分之一的領(lǐng)導(dǎo)者每周加班24小時(shí)。他們把大部分時(shí)間都花在了調(diào)查和補(bǔ)救員工錯(cuò)誤造成的威脅上。即便到了下班時(shí)間，高達(dá)60%的CISO仍因壓力而被迫加班。

企業(yè)組織是時(shí)候重視倦怠對(duì)安全團(tuán)隊(duì)以及對(duì)更廣泛組織的連鎖反應(yīng)了。試想一下，如果CISO正在經(jīng)歷這種程度的倦怠，這將對(duì)更廣泛的組織以及與他們一起工作的人產(chǎn)生何種影響。如果團(tuán)隊(duì)經(jīng)常處于倦怠狀態(tài)，關(guān)鍵時(shí)刻您將喪失可用之人。

“美化”中的過度勞累

不得不提的一點(diǎn)是，圍繞網(wǎng)絡(luò)安全的文化也需要改變，它正在錯(cuò)誤地倡導(dǎo)“加班文化”和為了企業(yè)而犧牲個(gè)人福祉。

作為安全領(lǐng)導(dǎo)者，最激動(dòng)人心的一些故事包括通宵達(dá)旦地保衛(wèi)組織或調(diào)查威脅。但我們常常不愿意承認(rèn)，對(duì)英雄主義的需求通常預(yù)示著一種失敗的狀態(tài)，它是不可持續(xù)的。

作為領(lǐng)導(dǎo)者，CISO需要以身作則并以“可持續(xù)的運(yùn)營(yíng)”為目標(biāo)建立他們的團(tuán)隊(duì)。當(dāng)你下班了，你就是下班了，并努力讓整個(gè)團(tuán)隊(duì)都感受到這種可持續(xù)性文化。

Rivera指出，遠(yuǎn)程工作的日益普及可能會(huì)加劇員工工作時(shí)間延長(zhǎng)的趨勢(shì)，這可能導(dǎo)致倦怠、不明原因的缺勤，甚至在某些情況下，人員流動(dòng)率高于預(yù)期。

為此，安全和技術(shù)團(tuán)隊(duì)?wèi)?yīng)該與其他部門合作，讓組織意識(shí)到倦怠和過度工作的危害性，這可以幫助管理人員在公司內(nèi)部灌輸一種彈性文化。

緩解建議

緩解網(wǎng)絡(luò)安全倦怠現(xiàn)狀的方法包括，在開發(fā)環(huán)境中采用“左移（left-shift）思維方式”。倦怠和壓力會(huì)導(dǎo)致錯(cuò)誤有機(jī)可乘，并進(jìn)入已發(fā)布的代碼之中，在開發(fā)過程中盡早引入安全性并利用工具來(lái)自動(dòng)化和支持這一目標(biāo)，可以降低組織面臨的風(fēng)險(xiǎn)。

在技術(shù)方面，構(gòu)建持續(xù)改進(jìn)/持續(xù)交付（CI/CD）管道以及部署集成開發(fā)環(huán)境（IDE）等工具將為組織提供絕佳機(jī)會(huì)。IDE將由源代碼編輯器、調(diào)試器和構(gòu)建自動(dòng)化工具組成，為開發(fā)人員提供自助服務(wù)功能并近乎實(shí)時(shí)地識(shí)別錯(cuò)誤。IDE與靜態(tài)分析安全測(cè)試和自動(dòng)進(jìn)入構(gòu)建管道的開源掃描相結(jié)合，將提供有效的漏洞緩解方案。

與其他任何工作職能一樣，溝通也很重要。CISO需要清楚地表達(dá)在當(dāng)前擁有的資源和限制條件下，無(wú)法做到一些事情，為更廣泛的組織開創(chuàng)先例，帶動(dòng)全組織范圍內(nèi)的“可持續(xù)性文化”。

安全行業(yè)存在這種不幸的“英雄主義”趨勢(shì)——這種心態(tài)必須改變。

本文翻譯自：https://www.zdnet.com/article/cybersecurity-burnout-is-real-and-its-going-to-be-a-problem-for-all-of-us/