Splunk’un geçen yıl yayınlanan ve şimdi vurgulanan araştırmasına göre, Birleşik Krallık’taki BT profesyonellerinin dörtte üçü 2025’te eksik uyarılar nedeniyle kesinti yaşadıklarını söylüyor.
Tedarikçinin Gözlemlenebilirlik durumu 2025 300’ü Birleşik Krallık’ta olmak üzere 1.855 BT operasyonu ve mühendisiyle anket yapılan rapor, uyarı yorgunluğunun şirketlerin ve diğer kuruluşların operasyonel dayanıklılığı açısından büyük bir sorun olduğunu öne sürüyor.
Gözlemlenebilirlik, operasyon kararlarını ve eylemlerini yönlendiren faktörler gibi ilgili olana odaklanmak ve ilgisiz olanı elemek için aktif olarak veri toplamayı amaçlayan bir ağ yönetimi stratejisidir.
Saha araştırması Oxford Economics tarafından Şubat 2025’ten Mart 2025’e kadar gerçekleştirildi. Katılımcılar Avustralya, Fransa, Almanya, Hindistan, Japonya, Yeni Zelanda, Singapur, Birleşik Krallık ve ABD’den 16 sektörü temsil eden kişilerdi.
Birleşik Krallık’ta yanıt verenlerin yarısından fazlası (%54) yanlış uyarıların personelin moralini bozduğunu söylerken, %15’i uyarıları kasıtlı olarak görmezden geldiklerini veya bastırdıklarını söyledi. Bu sorunun küresel ortalaması %13’tü.
Birleşik Krallık’taki BT ekipleri, strese en fazla katkıda bulunan faktörler olarak araç dağılımını (%61), yanlış uyarıları (%54) ve genel uyarı hacmini (%34) belirtiyor; bu da kritik güvenlik uyarılarının gözden kaçabileceği ortamlar yaratabilir.
Raporda, Splunk’taki gözlemlenebilirlik stratejistleri direktörü Stephanie Elsesser şunları söyledi: “Araçların yayılması gerçek bir zorluktur, ancak yatırım getirisini gerçekten baltalayan şey [return on investment] bu araçlardaki algılama kalitesinin düşük olmasıdır. Uyarılar gürültülü, gereksiz veya bağlamdan yoksun olduğunda, en gelişmiş araç setleri bile anlamlı bir değer sunamaz.”
Uyarı yorgunluğu siber güvenlik profesyonelleri için pek yeni bir şey değil. Kovid-19 salgınının ilk yılında, güvenlik istihbarat hizmetleri tedarikçisi Sumo Logic adına pazar araştırma şirketi Dimensional Research tarafından derlenen bir rapor, güvenlikten doğrudan sorumlu olan 427 BT liderinin %99’unun yüksek uyarı hacimlerinin güvenlik ekipleri için sorunlara neden olduğunu söylediğini ve %83’ünün personelinin uyarı yorgunluğu yaşadığını söylediğini ortaya çıkardı.
Olay müdahale sahipliği
Olay müdahalesinin kime ait olduğu Splunk araştırmasında bir umacı olarak ortaya çıkıyor. Katılımcıların yalnızca %21’i olayları düzenli olarak belirli bir ekibe ayırdıklarını söyledi. Araştırmacılar bunun olaylara tepki verme konusundaki olgunlaşmamışlığı gösterdiğini ileri sürüyor. Yaklaşık %36’sı kendilerini izole ettiklerini ancak nadiren belirttiklerini söyledi.
Araştırmacılar, “bu belirsizliğin, önemli güvenlik uyarılarının ele alınmaması riskini artırdığını, kuruluşları saldırılara karşı daha savunmasız bıraktığını ve onları önlenebilir ihlallere ve kesintilere maruz bıraktığını” belirtiyor.
Araştırma ayrıca gözlemlenebilirlik ve güvenlik ekipleri birlikte daha yakın çalıştığında sahipliğin daha iyi tanımlandığını ve daha az uyarının kaçırıldığını gösteriyor. Dünya çapındaki katılımcıların %64’ünün, bu işlevler arasındaki daha güçlü işbirliğinin, müşteriler üzerinde etkisi olan olayları azalttığını bildirdiği ortaya çıktı.
Araştırma, katılımcıların %74’ünün gözlemlenebilirlik ve güvenlik ekiplerinin verileri paylaştığını ve yeniden kullandığını söylediğini, %68’i ise her iki ekibin de aynı araçları kullandığını bildirdi. Ancak araştırmacılar raporda şu yorumu yapıyor: “Bu uygulamalar masaya yatırılmalıdır. Gerçek zamanlı olarak birlikte çalışmak, yalnızca gösterge tablolarından elde edemeyeceğiniz bağlamları ortaya çıkarır.
“Mühendisliğin API’yi döndürdüğünü varsayalım [application programming interface] bir arka uç hizmetinin anahtarı, ancak yeni anahtarı kullanmak için bir yukarı akış hizmetini güncellemediler. Yeni sürüm kullanıma sunuldukça kullanıcı istekleri başarısız olmaya başlıyor, bu da yeniden denemelere ve gecikmenin artmasına neden oluyor. Bunu tespit etmek için genellikle gecikme artış verilerinin güvenlik günlükleriyle birleştirilmesi gerekir; bu, çoğu gözlemlenebilirlik kontrol panelinde genellikle görülemeyen bir korelasyon düzeyidir.
“Verilerin ileri geri aktarılması sorun değil, ancak gerçek ekip çalışması, sorunların silolanmış iş akışları aracılığıyla yavaşça filtrelenmesini beklemek yerine, gözlemlenebilirlik ve güvenlik ekipleri en başından itibaren sanal ön saflarda birlikte olduğunda gerçekleşir.”
BT ekipleri ‘gürültüde boğuluyor’
Araştırmacılara göre gelişmiş ekipler bile sıkıntı yaşıyor; ankete katılanların %52’si, uyarılara yanıt vermek için gerekenden daha fazla zaman harcadıklarını söyledi. Cisco’nun sahibi olduğu tedarikçinin EMEA kıdemli başkan yardımcısı ve genel müdürü Petra Jenner, “BT ekipleri gürültüde boğuluyor” dedi.
“Her gün uyarılarla karşılaşıyorlar, ancak doğru bağlam veya sahiplik olmadan hangilerinin gerçekten önemli olduğunu bilmek neredeyse imkansız” dedi. “Bu netlik eksikliği ekipler üzerinde büyük bir baskı oluşturuyor ve tepki sürelerini yavaşlatıyor.
Jenner, “Kritik uyarılar bu gürültünün içinde kaybolduğunda kuruluşlar kesinti ve müşteri kesintisi riskiyle karşı karşıya kalır; bu da hızla gelir kaybına ve kalıcı itibar hasarına yol açabilir” dedi.
“Direnç oluşturmak ve alarm yorgunluğuyla mücadele etmek için kuruluşların BT personelinin psikolojik sağlığını dikkate alması ve kullandıkları araçların onları gerçekten desteklediğinden emin olmaları gerekir” diye ekledi. “Bu, uyarıları doğru bir şekilde önceliklendiren, bağlamı anlayan, net iyileştirme yolları öneren ve zaten stresli olan ekiplerin çalışması gereken arayüz sayısını azaltan gözlemlenebilirlik araçları anlamına geliyor.
“Doğru sistemler ve daha iyi departmanlar arası koordinasyon sayesinde ekipler hızla ve güvenle hareket edebilir ve alarm yorgunluğunun tuzaklarından kaçınabilir.”
Cisco’nun 2024’te Splunk’u satın alması, o zamanki sektör analistleri tarafından, eskinin ağ ve güvenlik teknolojilerini Splunk’un veri ve güvenlik analitiğiyle birleştirme umuduyla gerçekleştirilmiş olarak görülüyordu.