Güvenlik operasyon merkezleri beceri eksikliğini hissediyor.
ManageEngine tarafından yürütülen bir araştırmaya göre, 5 şirketten 4’ünden fazlası ya beşten az güvenlik analistine sahip olduklarını ya da SOC’yi çalıştırmak için yeterli analiste sahip olmadıklarını kabul ediyor.
Bazıları için dış kaynak kullanımı cevaptır.
SOC’nin işlevi, izleme, tespit, önleme ve müdahale hizmetleri aracılığıyla bir kuruluş için 7/24/365 güvenlik sağlamaktır. Ancak bir SOC, uyarıların meşru mu yoksa yanlış mı olduğunu belirlemek için uyarıları takip eden yetenekli analistlere ihtiyaç duyar. Uygun cevaba karar verirler.
SOC’yi izleyecek yetenekli analistler olmadan, başarılı bir siber saldırının bir şirketin savunmasını aşma riski artar.
ManageEngine başkan yardımcısı Manikandan Thangaraj, “Modern güvenlik operasyonları çok düzeyli bir yaklaşım gerektiriyor” dedi. “SOC personeli eksikliği boşlukları artırıyor ve kuruluşun genel güvenlik duruşunu etkiliyor.”
Personel eksikliği SOC’yi nasıl etkiler?
Siber güvenlik profesyonellerinin yalnızca ağda gizlenen tehditleri proaktif bir şekilde avlaması ve ele alması değil, aynı zamanda bölgeler ve endüstriler genelinde düzenleyici zorunluluklar için de gerekli olması gerekir. SOC içindeki her işlev kapsamlıdır ve farklı uzmanlık gerektirir.
Örneğin, SOC personeline sahip olmayan bir kuruluş, proaktif güvenlik stratejilerini uygulamakta zorlanabilir. Bu, bir saldırıyı tespit etmek için ortalama süreyi artırır ve bu da veri ihlallerini çevreleyen daha yüksek maliyetlere yol açar.
Bunun da ötesinde, bir güvenlik olayını tespit edecek ve düzeltecek sınırlı sayıda profesyonel olduğunda, güvenlik olaylarını çözmenin ortalama süresi de artar. Bu, saldırganların ağ içinde daha uzun süre gizlenmesine ve tehdit aktörleri kontrol altına alınana kadar saldırı yüzeyini genişletmesine olanak tanır.
Thangaraj, “Uygunluk işlevinde yeterli personel yoksa, kuruluş ağ altyapısı genelinde uyumluluğu sağlayamayabilir ve bu da uyumsuzluk ihlallerine yol açabilir” dedi.
Yönetilen güvenlik hizmeti sağlayıcısının rolü
Çok fazla kuruluş, gerçek tehditleri tespit edecek kadar olgun ekiplere sahip değil ve bu da tespitlerin geleceği için iyiye işaret değil.
Cybrary’nin kıdemli güvenlik araştırmacısı Matt Mullins, “Zaten fahiş miktarda sinyalden gürültüye var ve bu hıza ayak uyduramayan bir hız yaratıyor” dedi.
Şirket içi SOC iş gücü olmadan, kuruluşlar boşlukları doldurmak için yönetilen güvenlik hizmeti sağlayıcılarına (MSSP) yöneliyor. Thangaraj bunu işletme ve MSSP’ler için bir kazan-kazan durumu olarak görüyor.
Geçmişte kuruluşlar, bu kadar çok ağ kontrolünü bir dış satıcıya vermek istememiş olabilir. Ancak günümüzün karmaşık siber güvenlik ortamı, ağ güvenliği, tehdit avı, tehdit yanıtı, saldırıları etkisiz hale getirme ve veri güvenliği gibi çeşitli işlevlerin net tanımlarına ihtiyaç duyar.
MSSP’ler, tehdit ortamında gezinme desteği sağlayabilir ve kurumsal ağlarında daha fazla kontrole ve görünürlüğe sahip olan kurumsal ortaklarıyla yakın çalışabilir.
Thangaraj, “Bir MSSP veya hızlı olay veya tehdit yanıt hizmetleri arasında seçim yapmak, kuruluşun büyüklüğü ve SOC’sinin yanı sıra bütçesi, sektörü ve güvenlik olgunluk düzeyi gibi çeşitli faktörlere bağlıdır” dedi.
Şirketlerin MSSP’leri benimseme oranı, beceri eksikliği nedeniyle artacaktır, ancak Mullins, ele alınması gereken başka bir sorunun daha olduğuna inanıyor: SOC’deki beceri eksikliği, yalnızca bir yetenek açığından mı kaynaklanıyor, yoksa bir bütçe sorunu mu?
Mullins, “Uygun kadroya sahip olmak için yeterli finansman yoksa, o zaman kesinlikle yönetilen hizmetler de bir bütçe sorunu olacaktır” dedi.
Bir SOC’ye bile ihtiyacınız var mı?
SOC’deki analist eksikliğinin boşluklarını doldurmak için mevcut olan MSSP’lerle, kuruluşların bir SOC’ye sahip olmaları gerekip gerekmediği sorusunu gündeme getiriyor.
Cevap evet – dışarıdan yardım almanız gerekse bile, genel güvenlik kapsamında hayati bir rol oynar.
Mullins’e göre SOC’ler ayrıca ağdaki güvenlik açıklarına ilişkin görünürlük sunuyor. SOC ile, en çok trafikle hangi uç noktaların vurulduğunu, hangi öğelerin yama döngüsünün dışında olduğunu ve kimlik avı saldırılarının ağ filtrelerinden nerelere ulaştığını görebilirsiniz.
Çoğunlukla bunlar, MSSP’ler tarafından otomatik olarak kapsanmayan veya ek yatırımlar gerektirmeyen alanlardır.
Bir saldırı başlatmak için kullanılan karmaşıklıklar ve çeşitli teknikler göz önüne alındığında, kuruluşların yalnızca saldırıları önleme, tespit etme, iyileştirme ve kontrol altına almaya odaklanan özel bir SOC’ye yatırım yapması zorunlu hale gelir. Tehdit aktörleri en çok verilerin değerine önem verirler ve kuruluşlar hazırlıklı olmazsa verileri elde etmenin bir yolunu bulurlar.
Thangaraj, “Büyüklüğü ne olursa olsun, her kuruluşun güçlü bir SOC oluşturmaya yatırım yapması ve güvenliği kültürünün bir parçası haline getirmesi zorunludur” dedi.