Фраза «Сотрудники — это последняя линия обороны» стала аксиомой кибербезопасности. Индустрия построена на программах осведомленности и симуляциях, но что мы на самом деле просим от рядовых работников? Автор утверждает, что это не стратегия безопасности, а просьба к фермерам отразить нападение наемников. — csoonline.com
В сфере кибербезопасности существует фраза, ставшая аксиомой: «Сотрудники — это последняя линия обороны».
Мы построили целую индустрию вокруг этого. Миллиарды долларов вкладываются в программы повышения осведомленности о безопасности, обязательные симуляции и рабочие процессы отчетности пользователей по конечным точкам, приложениям и инструментам совместной работы. Все это основано на предпосылке, которая кажется разумной, пока вы не рассмотрите, о чем мы на самом деле просим.
Вот о чем мы просим: чтобы координатор по маркетингу, бухгалтер по счетам к оплате и торговый представитель смогли обнаружить то, что пропустили изощренные инструменты безопасности и обученные профессионалы.
Это не стратегия безопасности. Это просьба к фермерам отразить нападение наемников.
Иерархия, о которой мы не говорим
Подумайте об actual оборонных возможностях в типичной организации.
Ваша команда безопасности имеет многолетний специализированный опыт, доступ к SIEM-платформам, потокам данных об угрозах и инструментам криминалистического анализа. Их работа на полную ставку — это оборона.
Ваш CISO обладает многолетним опытом, стратегическим видением всей организации и полномочиями принимать архитектурные решения. Оборона — это вся их профессиональная сущность.
У ваших сотрудников есть короткий ежегодный учебный модуль, рабочий процесс отчетности и то внимание, которое они могут уделить работе, для которой их наняли на самом деле.
Мы создали многомиллиардную индустрию вокруг идеи, что третья группа добьется успеха там, где терпят неудачу первые две.
Доказательства уже налицо
Это не теоретическая претензия — это проявляется в исследованиях о том, как на самом деле работают SOC. Исследование Оксфордского университета, основанное на опросах и интервью с практиками SOC, показало, что они «подтвердили высокий» уровень ложных срабатываний используемых инструментов, и что многие «ложные срабатывания» на самом деле являются безвредными триггерами, которые все равно требуют человеческой проверки.
Это не провал сотрудников. Это сотрудники, делающие именно то, чему мы их научили — и обучение порождает объем, а не ясность.
Системы отчетности пользователей стали усилителями шума. Сотрудников поощряют отмечать все, что кажется нетипичным: необычные запросы на доступ, неожиданные системные сообщения, автоматизированные рабочие процессы, новые интеграции, срочные запросы. Эти сигналы когда-то указывали на риск. Сегодня они часто отражают то, как на самом деле работают современные автоматизированные предприятия. Признаки, которым мы научили сотрудников не доверять, все чаще описывают нормальную работу.
Тем временем команды SOC тонут. Дело не только в очередях — дело в человеческих издержках. Исследование ISACA за 2024 год показало, что 66% специалистов по кибербезопасности считают, что работа стала более стрессовой, чем пять лет назад, ссылаясь на более сложный ландшафт угроз наряду с ограничениями ресурсов.
А наш ответ: нас спасут бухгалтеры.
Настоящий человеческий уровень
Вот контр-взгляд, который должна услышать индустрия: «человеческий уровень», который имеет значение, — это не ваши сотрудники. Это ваша команда безопасности.
Когда мы говорим о человеческом элементе в безопасности, мы должны говорить о CISO, работающих на четырех часах сна во время инцидента. Об аналитиках, сопоставляющих шаблоны по тысячам сигналов. Об охотниках за угрозами, замечающих что-то слегка не так в логах аутентификации. Об архитекторах, видящих структурную слабость до того, как она приведет к взлому.
Это элитные защитники. Обученные профессионалы. Настоящий человеческий интеллект в вашей системе безопасности.
Если они не справляются — если их возможности поглощены триажем ложных срабатываний, отчетами, поданными пользователями, операционными эскалациями и постоянным давлением, чтобы очистить очереди — то никакое обучение осведомленности конечных пользователей не закроет этот разрыв.
Вы не компенсируете перегруженные спецподразделения, вручая винтовки фермерам.
Неудобная математика
Позвольте мне рассказать, что на самом деле происходит в большинстве организаций:
Команда безопасности ежедневно получает сотни оповещений. Многие из них поступают от автоматизированных средств контроля, рабочих процессов отчетности пользователей и превентивных обнаружений, разработанных с уклоном в сторону осторожности. Значительный процент требует расследования — вы не можете знать, что что-то безвредно, пока не посмотрите. Каждое расследование занимает 15–20 минут. Математика быстро поглощает 100% доступной пропускной способности аналитиков.
Когда объем ложных срабатываний достигает предела пропускной способности, стратегическая охота за угрозами сводится к нулю. Нет времени на распознавание шаблонов по множеству сигналов, корреляцию с данными об угрозах или медленный тщательный анализ, который позволяет обнаружить изощренные атаки.
Изощренные атаки не заявляют о себе. Они ждут в очереди, выглядя как все остальное. Обнаружение становится случайным — функцией удачи, а не замысла.
Это кризис, с которым сталкивается реальный человеческий уровень обороны. А мы решаем его, прося рядовых сотрудников выявлять тонкие аномалии в системах и рабочих процессах, которые уже прошли через слои автоматизированного контроля.
Что это значит
Я не утверждаю, что базовая гигиена безопасности бесполезна. Сотрудники должны соблюдать разумные практики и избегать заведомо рискованного поведения. Базовая дисциплина имеет значение.
Но мы подняли обучение осведомленности с уровня «базовой гигиены» до уровня «стратегической обороны», и это повышение опасно. Оно создает ложное чувство защищенности. Оно позволяет организациям недостаточно инвестировать в реальные оборонные возможности, потому что они «решили проблему человеческого элемента».
Человеческий элемент, который нуждается в решении, — это пропускная способность вашей команды безопасности. Их инструменты, их процессы, их способность выполнять стратегическую работу вместо того, чтобы тонуть в шуме.
Даже регуляторы и органы по стандартизации косвенно признают ту же узкое место: мониторинг должен быть реализован таким образом, чтобы минимизировать ложные срабатывания и ложные пропуски — потому что пропускная способность человеческого обзора конечна.
Вопрос, который стоит задать
Каждый CISO должен спросить себя: какой процент пропускной способности моей команды безопасности поглощается работой, которая на самом деле не снижает риск?
Если ответ — «большая часть» — если ваши аналитики проводят дни, разбирая превентивные оповещения, проверяя безвредную активность и реагируя на внутренние эскалации, вызванные неопределенностью, а не угрозой — значит, у вас проблема с человеческим уровнем.
Но решение не в дополнительном обучении конечных пользователей. Решение в восстановлении пропускной способности людей, которые на самом деле обучены вас защищать.
Фермерам нужно возделывать поля. Пусть они занимаются фермерством.
Вопрос в том, есть ли у ваших наемников место для боя.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alan LeFort