减轻网络安全分析师的认知负荷

重要重点

• 网络安全分析师的工作环境充满了数据与活动，常常导致疲劳。
• 认知负荷是造成疲劳的一个主要原因，主要来自内在和外在的信息过载。
• 错误的认知和缺乏方向会加重压力，影响工作表现。
• 企业需要制定清晰的战略并提供支持，让分析师能够集中精力，提高工作满意度。

网络安全分析师的工作通常包括关闭工单、跟踪待处理工单、分析数据、回复 Slack消息以及处理警报等。他们的工作环境常常是持续高压的，这导致了心理疲劳。其中一个主要原因是认知负荷。

认知负荷发生在员工试图吸收过多的信息或执行过多任务时。这对于网络安全分析师来说，主要分为两个方面：内在负荷，即梳理复杂的技术信息以执行事件响应活动；以及外在负荷，即他们必须过滤的
SIEM 中的其他数据，同时还要处理团队交流以及边界问题。

最终，认知负荷会导致表现下降、焦点缺乏和成就感下降。在网络安全领域，这尤其危险，因为勒索病毒攻击年增13%，比过去五年增加的总和还要多。此外，近一半的高级网络专业人员（45%）考虑过因压力而离开这个行业。

为了满足这个关键行业的需求，并填补目前开放的771,000个网络安全职位，企业必须将减轻认知负荷作为首要任务。当前，认知负荷主要来自两个问题。首先，企业通常缺乏在网络安全方面的明确方向，让分析师面对一个模糊而严峻的任务：保护我们的基础设施。这过于抽象，让他们无法确定自己的角色和职责。这种不确定性使得压力水平上升，安全团队显然需要指导，以明确他们在安全计划中的角色和首要任务。

其次，技术分析师通常需要“保护基础设施”，这有时会使团队不堪重负。从过多的工具到过量的信息，这些都会使情况更加复杂。许多 SIEM方法倾向于“收集所有资料然后筛选”，这意味著许多数据未能用于调查。针对这些问题，有几种方法可以更好地支持网络安全团队，并减少主要的认知负荷来源。

解决方案 | 描述
—|—
建立清晰的战略和团队结构 | 企业可以通过为团队设定明确的网络安全战略来对抗认知负荷。工作人员应对自己的角色、责任和目标有清晰了解，明白他们在整体战略中的位置。这样，他们会感受到自己是受过组织的力量增强的团队，而非孤军奋战。
了解技术的局限性 | 尽管网络安全团队的重要性不容小觑，但长久以来一直有误解，认为只需一种工具或产品就能完成所有工作。虽然这些工具可以共享有意义的数据，但分析师仍需负责解读这些数据并作出最终决策。
认识网络安全的人性一面 | 有效的网络安全计划依赖于人类的努力，但这往往是疲惫的。网络威胁不会因假期而停止，但人们需要休息。领导者应该与网络安全团队互动，鼓励他们适时休息，以减轻他们的压力。

即使采取