Разделенное внимание, мнимая многозадачность и количество мониторов в SOC

Разделенное внимание, мнимая многозадачность и количество мониторов в SOC
Наверное многие видели фотографии SOCов с огромными экранами, на которых что-то показано красивое и переливающееся всеми цветами радуги. А вы знаете, что по статистике, эти экраны не используются в 80% времени, исключая приходы руководства, СМИ (если компания важная) и важных клиентов.


Вместо правильного их использования (например, для вывода дашбордов ) в SOC почему-то принято ставить у аналитиков по несколько мониторов. Вот примерно так:


Но на самом деле человек не способен работать в многозадачном режиме. Многие компьютеры тоже это не умеют несмотря на термин "многозадачность" (если не брать в расчет многопроцессорные или распределенные системы). Просто разные задачи распределяются между тактами процессора и переключение между задачами происходит незаметно для человеческого глаза. А вот человеческий мозг так не умеет (ну если вы не Юлий Цезарь, конечно). Более того. Мнимая человеческая многозадачность приводит к замедлению работы и забывчивости. При переключении мы откладываем дела в краткосрочную память и можем забыть до 40% в ней хранящегося, то есть того, что делали и планировали делать. Вот, посмотрите ролик, в нем как раз хорошо показан результат переключения с задачи на задачу:




Что делают ваши аналитики SOC? Только анализируют события безопасности? Или еще принимают звонки об инцидентах по телефону и электронной почте? А регистрируют заявки или занимаются эскалацией тоже они? А еще они ходят по нужде, покурить, поесть, попить воды и т.д. Все это отвлекает внимание и приводит к "слепоте".

В этой области (change blindness) проводится достаточно много различных исследований, особенно военными, у которых цена ошибки достаточно высока. В частности, ВМС США проводили такое исследование " Verification of the change blindness phenomenon while managing critical events on a combat information display " с целью определить, каков процент изменений на мониторах упускают из ввиду операторы ВВС, следящие сразу за несколькими мониторами. Согласно многочисленным исследованиям, на полное восстановление состояния глубокой концентрации после отвлечения на другие задачи, уходит примерно 15 минут. Иными словами, использование двух и более мониторов, отображающих разные типы информации, может негативно сказаться на способности концентрировать внимание. Это иная сторона психологической слепоты, о которой я уже  писал  в октябре.

А сколько мониторов нужно для того, чтобы работа аналитика SOC была максимально эффективной? Если честно, то я не нашел ни одного исследования, дающего ответ именно на этот вопрос. Но есть исследования, которые отвечают на вопрос относительно числа мониторов у операторов систем охранного видеонаблюдения. Согласно исследованиям, при использовании одного, четырех, шести и девяти мониторов, точность обнаружения составляет 85%, 74%, 58% и 53% соответственно. В различных материалах говорится, что чем критичнее область контроля (например, казино или алмазные компании), чем меньше мониторов используется - не больше 3-4-х. В SOCе же объекты контроля не только меньше, но и менее заметные, чем у видеонаблюдения, поэтому и мониторов должно быть меньше. Если бы мы наблюдали только за DDoS, то мы могли бы использовать больше мониторов, но увы... бывают и другие, менее заметные атаки, а значит число мониторов не должно быть большим. Тем более, что одна атака может скрываться за другой, отвлекающей внимание, и концентрация внимания у аналитика должна быть достаточно высокой - большое число мониторов только распыляет его концентрацию.

Бороться с описанной проблемой можно несколькими путями:
  1. Не использовать больше двух мониторов на аналитика.
  2. Согласно исследованиям многозадачность гораздо меньше сказывается на молодых женщинах, чем на пожилых мужчинах (возраст и пол имеют значение). Поэтому в качестве аналитиков SOC эффективнее брать прекрасную половину человечества, что, правда, немного отличается от современных реалий.
  3. Проводить тест Мюнстерберга при приеме на работу аналитиков SOC, который позволяет проводить профотбор тех, кто обладает хорошей избирательностью и концентрацией внимания (правда, если есть из кого выбирать и можно проводить тесты).
  4. Выбирать (разрабатывать) решения по мониторингу с учетом соответствующих рекомендаций по проектированию графического дизайна (например, вот ). 

ЗЫ. А что тогда выводить на большие экраны, коль скоро они уже есть в SOCе? Ну уж точно не аномалии и атаки. Почему бы не вывести туда новостную сводку, которая имеет отношение к деятельности организации в ИБ-поле (например, фиды по ИБ)? А еще туда можно выводить твиты или заметки из соцсетей с тэгом вашей организации или бренда или сводные данные по Топ10 - внутренних или внешних узлов, пользователей, нарушителей, приложений, протоколов и т.п.

ЗЗЫ. Карты атак тоже бессмысленны для больших экранов. Да и вообще бесполезны.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!