Về cơ bản, công việc này đòi hỏi phải tìm kiếm sự bất thường trong dữ liệu đến, ngày này qua ngày khác. Khi một sự bất thường được phát hiện, mọi việc hàng ngày sẽ có chút thay đổi vì có sự cố cần điều tra, dữ liệu cần thu thập cũng như các đánh giá rủi ro và thiệt hại cần thực hiện. Nhưng các sự cố mạng nghiêm trọng không phổ biến ở các công ty có giải pháp tiên tiến bảo vệ máy chủ, máy trạm và toàn bộ cơ sở hạ tầng thông tin.
Trong một nghiên cứu gần đây được thực hiện bởi Enterprise Strategy Group do Kaspersky ủy quyền, 70% tổ chức thừa nhận đang gặp khó khăn trong việc theo kịp khối lượng cảnh báo bảo mật.
Theo nghiên cứu ESG, ngoài số lượng, sự đa dạng của các cảnh báo là một thách thức khác đối với 67% tổ chức. Tình huống này khiến nhà phân tích SOC khó tập trung vào các nhiệm vụ quan trọng và phức tạp hơn. 34% công ty có các nhóm an ninh mạng bị quá tải với các cảnh báo và vấn đề bảo mật khẩn cấp cho biết họ không có đủ thời gian để cải thiện chiến lược và quy trình.
“Các chuyên gia của chúng tôi dự đoán rằng mối đe dọa trực tuyến và tìm kiếm mối đe dọa sẽ là thành tố quan trọng trong mọi chiến lược phát triển SOC. Nhưng với bối cảnh hiện tại, nơi các nhà phân tích SOC đang sử dụng thời gian, kỹ năng và năng lượng của họ để xử lý các IoC chất lượng kém và chiến đấu với cảnh báo không cần thiết thay vì tìm kiếm những mối đe dọa phức tạp, khó phát hiện trong cơ sở hạ tầng không chỉ là cách tiếp cận không hiệu quả mà còn khiến tình trạng kiệt sức không thể tránh khỏi”, ông Yeo Siang Tiong, Tổng giám đốc Kaspersky Đông Nam Á cho biết.
Chuyên gia này cũng cho biết thêm, trong năm 2023, SOC sẽ tiếp tục đối mặt với các cuộc tấn công tinh vi, chẳng hạn như mã độc tống tiền và chuỗi cung ứng. Điều đó có nghĩa là nhóm SOC phải sẵn sàng đối mặt với những mối đe dọa này và yếu tố thành công chính trong quá trình chuẩn bị sẽ là nâng cao toàn diện các khía cạnh cho SOC, bao gồm cả chiến đấu với tình trạng kiệt sức.
Theo đó, các doanh nghiệp, đơn vị nên nghĩ đến cách giúp cho các nhiệm vụ của SOC trở nên đa dạng hơn, có thể cân nhắc đến các giải pháp tự động hóa và sử dụng dịch vụ bên ngoài để giải quyết những vấn đề nội bộ, giúp đội ngũ SOC thoát khỏi tình trạng kiệt sức, đồng thời tăng mức độ an ninh mạng.
Theo kinh nghiệm từ các chuyên gia an ninh mạng, để hợp lý hóa công việc của một SOC và tránh sự mệt mỏi vì cảnh báo, các đơn vị nên sắp xếp các ca làm việc trong nhóm SOC để tránh nhân viên làm việc quá sức, tự động hóa các hoạt động thông thường và thuê chuyên gia giám sát dữ liệu bên ngoài…
Ngoài ra, để đảm bảo an ninh mạng, các đơn vị cũng nên sử dụng dịch vụ thám báo về mối đe dọa đã được chứng minh cho phép tích hợp thông tin thám báo mà máy có thể đọc được vào các biện pháp kiểm soát bảo mật hiện có, chẳng hạn như hệ thống SIEM, hoặc các giải pháp như XDR…
