Yapay zekanın kurumsal güvenlik operasyon merkezlerini (SOC) kökten değiştirmesi bekleniyor olsa da, en azından şimdilik, yeni işe alınanların aşina olması gereken en iyi üç teknoloji SIEM, ana bilgisayar tabanlı genişletilmiş algılama ve yanıt ve güvenlik açığı giderme olmaya devam ediyor.
Ancak SANS Enstitüsü’nün yaklaşık 400 siber güvenlik uygulayıcısı üzerinde yaptığı bir ankette, diğer üç zor beceri yüksek puan aldı Torq adına yürütüldüBunlara bulut güvenliği sorunları hakkında bilgi, PowerShell uzmanlığı ve tekrarlayan görevleri ve sistem yönetimi işlevlerini otomatikleştirme yeteneği dahildir.
Temel Zor Beceriler
Torq’un kıdemli teknik ürün yöneticisi Dallas Young, “SOC analistleri için şu anda olmazsa olmaz olan temel zor beceriler arasında en önemli üç becerinin yanı sıra şunlar yer alıyor: olay yönetimi ve müdahalesi, tehdit avcılığı, bulut güvenliği, dijital adli bilişim, Python, PowerShell ve bash komut dosyası oluşturma” diyor.
“Yumuşak becerilere gelince, bunlar arasında eleştirel düşünme ve yaratıcı, bilinçli problem çözme, hızla değişen ortamlarda ayrıntılara dikkat etme ve hem teknik hem de kişilerarası düzeyde iletişim becerileri yer alıyor” diyor.
SANS anketi, ABD ve diğer ülkelerdeki küçük, orta ve büyük şirketlerden katılımcılara en önemli SOC zorlukları hakkında anket yaptı. Yanıtlar, birçok kuruluşun yıllardır onları rahatsız eden sorunlarla mücadele etmeye devam ettiğini gösterdi. Bunlar arasında, temel SOC işlevlerinin otomasyon ve orkestrasyon eksikliği, yüksek personel gereksinimiA kalifiye eleman eksikliğive görünürlük eksikliği. Ayrıca güvenlik, olay müdahalesi ve operasyon ekipleri arasında yaygın bir silo zihniyeti olduğunu bildirdiler.
SOC Tutma Oranları İyileşiyor
Olumlu tarafı ise anketin birçok SOC’de personel tutma oranlarında şaşırtıcı bir artış gösterdiğini ortaya koydu. Katılımcıların yaklaşık %30’u (çoğunluk) kuruluşlarındaki ortalama SOC görev süresinin, katılımcıların önceki SANS anketlerinde belirttiği bir ila üç yıllık görev sürelerine kıyasla üç ila beş yıl arasında olduğunu belirtti.
Young, bu eğilimi daha fazla kuruluşta Tier-1 triyaj ve analizin artan otomasyonuna bağlıyor. Bu, SOC analistlerinin tehdit avcılığı ve gelişmiş olay müdahalesi gibi daha stratejik ve entelektüel olarak teşvik edici faaliyetlere odaklanmasını sağladı. Ayrıca, analist tükenmişliği sorun, diyor.
Artan tutma oranlarına katkıda bulunan diğer faktörler arasında uzaktan ve esnek çalışma saatleri ve yüksek performans gösterenler için yönetim seviyesinde liderlik eğitimi gibi daha iyi çalışma ortamları yer alıyor. Young, “Ek olarak, teknik bir odaklanmayı sürdürmek isteyen güvenlik analistleri için, kuruluşlar penetrasyon testi, ters kötü amaçlı yazılım mühendisliği ve bulut güvenliği konu alanları gibi ilgi alanlarında daha fazla eğitim ve sertifika fırsatı için ödeme yapıyor” diyor.
IANS Araştırma’da öğretim görevlisi ve Hunter Strategy’de Ar-Ge başkan yardımcısı olan Jake Williams, mevcut iş piyasası koşullarının birçok kuruluşun birkaç yıl öncesine göre aynı bütçeyle daha deneyimli SOC analistleri güvence altına almasına olanak tanıdığını söylüyor. Williams, “Bu, kuruluşlar için kısa vadede iyi bir şey, ancak iş piyasası toparlandığında şimdiden plan yapmalılar,” diyor. “Birçok kuruluş, bu daha kıdemli analistlerin masaya getirdiği becerilerle süreç eksikliğini kamufle ediyor.”
Bulut Bilgisi, Kimlik Yönetimi, PowerShell Sıcak Becerilerdir
Williams, Young gibi, SIEM ve XDR’nin bariz temel becerilerinin dışında en çok talep gören SOC becerilerinin AWS ve Azure gibi bulut platformları bilgisi ve Active Directory ve Entra ID anlayışı olduğunu söylüyor. “Çok şey gördüm Williams, özellikle kıdemli SOC analistleri için temel bulut bilgisi beklentisinin daha fazla olduğunu belirtiyor. M365’in kurumsal alanda yaygın kullanımı göz önüne alındığında, birçok kıdemli SOC analistinin GraphAPI’yi sorgulamak için PowerShell’i bilmesi bekleniyor, diyor, “PowerShell deneyimi ve bulut platformu bilgisi birkaç yıl önce niş becerilerdi. Bugün orta seviyeden kıdemli SOC analistlerine kadar, bu standart gibi görünüyor.”
SANS anketi, birçok SOC uygulayıcısının SOC analiz amaçları için yapay zeka ve makine öğrenimi araçlarını ilk kullanımlarından memnun olmadığını gösterdi. Aslında, katılımcılar SOC araçlarını derecelendirmeleri istendiğinde en düşük puanı AI ve ML araçlarına verdiler. Ancak, AI ve GenAI teknolojilerinin SOC’yi ve bu süreçte beceri manzarasını da temelden değiştireceği konusunda çok az şüphe var.
Young, AI’nın temel olarak otomatik tehdit algılama, proaktif tehdit avı, tekrarlayan ve zaman alıcı görevlerin otomasyonu, uyarı yorgunluğunun azaltılması ve öngörücü analitiği geliştirmek için ilerlemeye devam edeceğini söylüyor. Young, SOC analistlerinin AI tarafından oluşturulan içgörüleri yorumlamak için makine öğrenimi algoritmaları ve veri analizi tekniklerine aşina olmaları gerekeceğini söylüyor. Ayrıca, AI sistemleri tarafından belirlenen karmaşık güvenlik olaylarını ele alma becerilerine ve sürekli olarak yeni AI teknolojilerini ve metodolojilerini öğrenmeye ve bunlara uyum sağlamaya istekli olmaları gerekeceğini söylüyor.
“Bunun Önemi Ne?”
Williams, yapay zeka araçlarının, tek rolü temel alarmlara yanıt vermek olan analistlere olan ihtiyacı azaltmasını bekliyor. “Genç analistler artık yapay zekanın hangi görevleri iyi yaptığına ve yapmadığına bakmalı ve eleştirel düşünme gibi yapay zekanın yerini alamayacakları yerlerde kendilerini eğitmeliler,” diyor. “Geleceğin SOC’si, 3389 numaralı portun RDP olduğunu bilmekle ilgili olmayacak – yapay zeka bu bağlamı talep üzerine sağlayacak – ve daha çok ‘bu bağlamda neden önemli?’ sorusunu sormakla ilgili olacak.”
Bugcrowd’da siber güvenlik kıdemli direktörü Sajeeb Lohani, ilginç sorunlar ve korelasyonlar söz konusu olduğunda yaratıcı düşünmenin SOC profesyonelleri için önemli bir varlık olmaya devam edeceğini söylüyor. “Günümüzde, SIEM’ler uyarılar üretebiliyor, bu nedenle bir rutine girmek ve biletleri karıştırmak oldukça kolay,” diyor. “Ancak, bence en başarılı profesyoneller, bu tür uyarıları sınıflandırırken ve yanıtlarken olayları ilişkilendirebiliyor ve iş bağlamını anlayabiliyor. Bu bağlam anahtardır.”
Lohani, SOC’de nispeten niş konular olarak kabul edilen bazı tehditlerin önümüzdeki birkaç yıl içinde daha önemli hale geleceğini öngörüyor. “Şu anda, SOC’lerin büyük bir kısmı tedarik zinciri güvenliği sorunları gibi daha niş tehditlerle uğraşmak zorunda kalmadı,” diyor. “Zamanla bunun değişmeye başlayacağına ve daha olgun uygulamaların [be needed] “Hazırlanmak ve uyum sağlamak.”