SİBER GÜVENLİKTE ALARM YORGUNLUĞU

Kaspersky tarafından desteklenen “SOC Modernizasyonu ve XDR’ın Rolü” başlıklı yeni ESG anketine göre, ankete katılan kurumların neredeyse dörtte üçü (%70) güvenlik analizi araçları tarafından oluşturulan uyarıların hacmine ayak uydurmakta zorlanıyor. Bu, önemli stratejik görevler için kaynak eksikliğine neden olurken organizasyonları süreç otomasyonuna ve dış kaynak kullanımına yönlendiriyor.

Güvenlik operasyon merkezi (SOC) aracılığıyla acil durum görevlerini etkin bir şekilde yönetme sorunu devam ediyor. Dimensional Research tarafından yapılan "2020 SecOps durumu ve otomasyon" anketine göre, siber güvenlik personelinin %83'ü alarm yorgunluğu yaşıyor.

ESG tarafından yürütülen araştırmaya göre, uyarıların yüksek hacminin yanı sıra çok çeşitli olmaları da kuruluşların %67'si için sorun oluşturuyor. Bu, SOC analistinin daha karmaşık ve önemli görevlere odaklanmasını zorlaştırıyor. Her üç şirketten biri (%34), uyarılarla ve acil güvenlik sorunlarıyla baş etmeye çalışan siber güvenlik ekipleri için strateji ve süreç iyileştirmelerine harcayacak yeterli zamanı ayıramıyor.

ESG araştırması aynı zamanda kuruluşların sorunu personel eksikliğiyle ilişkilendirmediğini de ortaya koyuyor. Katılımcıların %83'ü SOC'lerinin kendi boyutlarındaki bir şirketi etkin olarak korumak için yeterli personele sahip olduğuna inanmakla birlikte, durumun süreç otomasyonu ve dış hizmet alma ihtiyacından kaynaklandığını düşünüyor. Yönetilen hizmetleri kullanmanın birincil nedeni, personele güvenlik operasyonları görevlerine zaman harcamak yerine (%55) daha stratejik girişimlere odaklanmak için daha fazla zaman tanımak şeklinde öne çıkıyor.

Kaspersky Kıdemli Ürün Müdürü Yuliya Andreeva, şunları söylüyor: “SOC analistleri, altyapıda proaktif olarak karmaşık tehditler aramak yerine yangını söndürmekle uğraşıyor. Uyarıların sayısını azaltmak, bunların konsolidasyonunu ve olay zincirleriyle korelasyonunu otomatikleştirmek ve genel yanıt süresini kısaltmak, kuruluşların SOC'lerinin etkinliğini iyileştirmeleri için birincil görev olmalıdır. Bunu başarmak için otomasyon çözümleri ve harici uzmanlık hizmetleri yardımcı olabilir.” 

SOC'nin çalışmasını kolaylaştırmak ve alarm yorgunluğunu önlemek için Kaspersky, işletmelerin aşağıdakileri tavsiye ediyor:

Personelin fazla çalışmasını önlemek için SOC'de iş vardiyalarını düzenlenmeli ve tüm önemli görevlerin çalışanlar arasında dağıtılması sağlanmalıdır. İzleme, araştırma, BT mimarisi ve mühendisliği, yönetim ve genel SOC yönetimi bunlara dahildir.

Rutin görevleri olan personel, SOC analizinde tükenmişliğe yol açabilir. İç transfer ve rotasyon gibi bazı uygulamalar bu durumun yönetilmesinde kullanılmalıdır.

İlk önceliklendirme sürecini otomatikleştirmek ve uyarının hemen araştırılması gerekip gerekmediğine karar vermek için yeterli bağlamı oluşturmak üzere makine öğrenmesinin SIEM sistemi gibi mevcut güvenlik kontrollerinize entegrasyonunu sağlayan kanıtlanmış tehdit istihbarat hizmetini kullanmalısınız.

SOC'nizi rutin uyarı önceliklendirme görevlerinden kurtarmaya yardımcı olmak için Kaspersky Managed Detection and Response gibi kanıtlanmış algılama ve yanıt hizmetini kullanılmalıdır. Hizmet, yapay zeka tabanlı algılama teknolojilerini, Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) dahil olmak üzere profesyonel birimlerin tehdit avlama ve olay müdahalesindeki kapsamlı uzmanlığıyla birleştirmektedir.