Uyarılarla başa çıkmak giderek zorlaşıyor

Güvenlik operasyon merkezi (SOC) aracılığıyla acil durum görevlerini etkin bir şekilde yönetme sorunu devam ediyor. Dimensional Research tarafından yapılan “2020 SecOps durumu ve otomasyon” anketine göre, siber güvenlik personelinin %83’ü alarm yorgunluğu yaşıyor. Kaspersky tarafından desteklenen “SOC Modernizasyonu ve XDR’ın Rolü” başlıklı yeni ESG anketine göre, ankete katılan kurumların neredeyse dörtte üçü (%70) güvenlik analizi araçları tarafından oluşturulan uyarıların hacmine ayak uydurmakta zorlanıyor. Bu, önemli stratejik görevler için kaynak eksikliğine neden olurken, şirketleri de süreç otomasyonuna ve dış kaynak kullanımına yönlendiriyor.

ESG tarafından yürütülen araştırmaya göre, uyarıların yüksek hacminin yanı sıra çok çeşitli olmaları da kuruluşların %67’si için sorun oluşturuyor. Bu, SOC analistinin daha karmaşık ve önemli görevlere odaklanmasını zorlaştırıyor. Her üç şirketten biri (%34), uyarılarla ve acil güvenlik sorunlarıyla baş etmeye çalışan siber güvenlik ekipleri için strateji ve süreç iyileştirmelerine harcayacak yeterli zamanı ayıramıyor.

ESG araştırması, kuruluşların sorunu personel eksikliğiyle ilişkilendirmediğini de ortaya koyuyor. Katılımcıların %83’ü SOC’lerinin kendi boyutlarındaki bir şirketi etkin olarak korumak için yeterli personele sahip olduğuna inanmakla birlikte, durumun süreç otomasyonu ve dış hizmet alma ihtiyacından kaynaklandığını düşünüyor. Yönetilen hizmetleri kullanmanın birincil nedeni, personele güvenlik operasyonları görevlerine zaman harcamak yerine (%55) daha stratejik girişimlere odaklanmak için daha fazla zaman tanımak şeklinde öne çıkıyor. Kaspersky Kıdemli Ürün Müdürü Yuliya Andreeva, “SOC analistleri, altyapıda proaktif olarak karmaşık tehditler aramak yerine yangını söndürmekle uğraşıyor. Uyarıların sayısını azaltmak, bunların konsolidasyonunu ve olay zincirleriyle korelasyonunu otomatikleştirmek ve genel yanıt süresini kısaltmak, kuruluşların SOC’lerinin etkinliğini iyileştirmeleri için birincil görev olmalıdır. Bunu başarmak için otomasyon çözümleri ve harici uzmanlık hizmetleri yardımcı olabilir” değerlendirmesini yaptı.

SOC’nin çalışmasını kolaylaştırmak ve alarm yorgunluğunu önlemek için Kaspersky, şu önerileri yaptı:
• Personelin fazla çalışmasını önlemek için SOC’de iş vardiyaları düzenlenmeli ve tüm önemli görevlerin çalışanlar arasında dağıtılması sağlanmalı. İzleme, araştırma, BT mimarisi ve mühendisliği, yönetim ve genel SOC yönetimi de bunlara dahil.
• Rutin görevleri olan personel, SOC analizinde tükenmişliğe yol açabilir. İç transfer ve rotasyon gibi bazı uygulamalar bu durumun yönetilmesinde kullanılmalı.
• İlk önceliklendirme sürecini otomatikleştirmek ve uyarının hemen araştırılması gerekip gerekmediğine karar vermek için yeterli bağlamı oluşturmak üzere makine öğrenmesinin SIEM sistemi gibi mevcut güvenlik kontrollerinize entegrasyonunu sağlayan kanıtlanmış tehdit istihbarat hizmetini kullanmak önemli.
• SOC’yi rutin uyarı önceliklendirme görevlerinden kurtarmaya yardımcı olmak için Kaspersky Managed Detection and Response gibi algılama ve yanıt hizmeti kullanılmalı.