Het succes van een Security Operation Center (SOC) heeft een keerzijde: het trekt een zware wissel op de gezondheid van mensen die er werken. Burn-out is de nummer 1 beroepsziekte onder cybersecurity-professionals en dat resulteert in uitval en zelfs het vertrek van overbelaste SOC-medewerkers. Een scherp tekort aan gekwalificeerde mensen maakt het probleem groter.
Uit een Amerikaans onderzoek van het Ponemon Institue (april 2020) blijkt dat 60% van de ondervraagde SOC-medewerkers overweegt een andere carrière of baan te zoeken als gevolg van een burn-out. De in het onderzoek opgesomde pijnpunten zijn onder meer: groeiende werkdruk (75%), gebrek aan zicht op de gehele infrastructuur (70%), en de dagelijkse strijd tussen SOC-medewerkers en de IT-afdeling (64%). Van de ondervraagden heeft 71% behoefte aan meer automatisering van saaie en tijdrovende taken.
Meer dan de helft van de organisaties die aan het onderzoek meededen, heeft te maken met een tekort aan gekwalificeerde mensen. Over de hele linie blijkt onvoldoende afstemming tussen mensen, processen en technologie de efficiëntie van Security Operation Centers onder druk te zetten. Volgens het (ISC)2, (International Information System Security Certification Consortium) is er wereldwijd momenteel een tekort van 4 miljoen cybersecurity-specialisten. En dit aantal loopt snel op.
Stress en burn-out
Stress kan leiden tot een hogere bloeddruk, verteringsproblemen, hoofd- en spierpijn en aantasting van het immuunsysteem. Dat geeft concentratieproblemen, geheugenverlies, spanning en minder sociale betrokkenheid, met als gevolg fysieke en psychische uitputting. Gezien de aard van hun werk is het niet verwonderlijk dat securityspecialisten last hebben van stressverschijnselen en burn-out. Denk aan de permanente staat van paraatheid, enorme bergen data en de niet-ophoudende stroom aan ‘alerts’ van uiteenlopende detectiesystemen die genegeerd, dan wel geëscaleerd moeten worden. Wat als je negeert in plaats van escaleert? En wat te denken van de enorme schade die zo’n inschattingsfout kan hebben? Elke dag is een gevecht en met de komst van mobiel, cloud en IoT (Internet of Things) zijn de mogelijkheden voor hackers om binnen te komen alleen maar toegenomen.
Stressbestrijding in SOC
Binnen een organisatie kan er in algemene zin van alles aan het verlagen van stress worden gedaan. Bijvoorbeeld het stimuleren van werkplezier en creativiteit. Als medewerkers zelf controle hebben over hun werkritme en -planning, helpt dat en ook het ontvangen van waardering werkt positief. Werken aan coaching en het aanpakken van een negatieve werksfeer is iets waar verder aan gewerkt kan worden.
Uit het genoemde Ponemon-onderzoek blijkt dat analisten in Security Operation Centers het meest gebaat zijn bij meer geautomatiseerde workflow en de implementatie van geavanceerde analysetools en machine learning. Op de achtergrond geldt dat goede afstemming met de rest van de organisatie (‘strong business alignment’) en uitgebreide trainingen voor de professionals zorgen voor een verdubbeling van de effectiviteit van SOC’s, ten opzichte van organisaties die dat minder goed, of niet voor elkaar hebben.
Een niet te onderschatten onderdeel van de bestrijding van stress en burn-out in een Security Operation Center is het onder controle brengen en houden van de workload van medewerkers. Voorkom overbelasting van medewerkers door dagelijkse diensten zo vorm te geven dat medewerkers optimaal waakzaam kunnen zijn en voldoende pauzes en slaap krijgen en gezond blijven.
Stimuleer verder trainingen en certificatietrajecten, zodat specialisten hun vaardigheden kunnen uitbreiden en op pijl houden en groeimogelijkheden in hun carrière krijgen. Pas waar mogelijk job-rotatie toe omdat professionals daar ‘completer’ van worden. Varieer in opdrachten van medewerkers, bijvoorbeeld door tier 1-analisten ook ’threat hunting’-onderzoeken te laten doen. Dat geeft afwisseling tussen reactieve en proactieve werkzaamheden. Het regelmatig doen van oefeningen, bijvoorbeeld door een zogeheten Red Team een aanval uit te laten voeren, houdt analisten scherp. Verder is het zaak om verbeteringen bij te houden en vast te leggen, zonder het al te ingewikkeld te maken.
SIEM en SOAR
Op technisch vlak is het een aanrader om een prioriteit te maken van de continue verbetering van de regelset van het SIEM (Security Information en Event Management) -systeem). Daardoor zal het aantal vals-positieve meldingen van het systeem dalen, wat de druk op de analisten vermindert. Als analisten verder de mogelijkheid hebben om zelf ‘use cases’ aan te passen, zal dat ze het gevoel geven effectiever te zijn.
Gebruik Security Orchestration and Automated Response (SOAR)-systemen om analisten minder te belasten met repeterende taken. Dat geeft minder werkdruk en meer plezier in het werk. SOAR-systemen helpen ‘incident response workflows’ te automatiseren en standaardiseren. Een voor de hand liggend voorbeeld van een SOAR-toepassing is de phishing-mail. Een medewerker stuurt een mogelijke phishing-mail naar het SOC. Dit komt in het SOAR-systeem te staan, waarna er een automatische analyse van het bericht wordt gemaakt. Er wordt onder andere gekeken of het bericht gekende foute IP-adressen of URL’s bevat. Ook de gegevens van de domeinhost en de registratiedatum worden eruit gehaald. Het resultaat van de analyse gaat terug naar de analist, die ook een voorstel voor opvolging of vervolgstap krijgt. Is het bericht inderdaad een phishing-mail, dan kan de analist bepaalde geautomatiseerde taken uitvoeren, zoals het sturen van een bericht naar de medewerker die de phishing-mail aanbracht. Ook het verwijderen van alle berichten van dezelfde afzender kan, net als e-mails met dezelfde onderwerpregel uit alle mailboxen van de organisatie.
Allemaal goed en wel, maar zonder voldoende goedopgeleide medewerkers in een Security Operation Center zal het voor de overblijvers zwaar en stressvol blijven. De young professionals van Breinstein staan klaar om de druk in Security Operation Centers te verlichten. Stuk voor stuk Digital Natives die zijn opgegroeid in het digitale tijdperk die zich willen blijven ontwikkelen. Zij volgen een van onze traineeships (Cyber Security, Informatiemanagement of Data Analytics) en gaan tegelijkertijd voor u aan de slag om uw organisatie future-proof te maken.