Son on yılda, BT ve Siber Güvenlik alanında ön saflardaki analistler ile üst düzey yönetim arasında giderek artan bir kopukluk yaşandı. Modern analistlerin karşılaştığı iyi belgelenmiş zorluklar, yüksek miktarda uyarı, yanlış pozitifler, teknik ortamların zayıf görünürlüğü ve analistlerin manuel görevlere çok fazla zaman harcaması etrafında dönüyor.
Uyarı Yorgunluğunun ve Yanlış Pozitiflerin Etkisi
Analistler uyarılardan bunalmış durumda. Bunun dolaylı etkisi, yorgun analistlerin olaylardaki önemli ayrıntıları kaçırma riskiyle karşı karşıya kalması ve genellikle zaman alıcı önceliklendirme görevlerini manuel olarak yürütmesi ve sonunda genel bir kapanış yorumunu kopyalayıp yanlış pozitif uyarıya yapıştırmasıyla sonuçlanmasıdır.
Her zaman yanlış pozitiflerin olması muhtemeldir. Ve birçok kişi, yanlış pozitifin, yanlış negatiften daha iyi olduğunu savunur. Ancak proaktif aksiyonların alınabilmesi için olayın özüne yaklaşmamız gerekiyor. Bu, analistlerin triyaj ve soruşturma sürecini nasıl yürüttüğünü derinlemesine incelemeyi gerektirir.
Triyaj ve Soruşturma için SHQ Müdahale Platformu
Tipik bir önceliklendirme süreci genellikle manueldir ve analistlerin bağlamsal bilgiler için bireysel günlük aramaları yapmalarını sağlar. Bu bilgiden yola çıkarak, neler olduğuna dair bir hikaye oluşturmaya ve genel risk ölçeğine ilişkin bir fikir sağlamaya başlarlar.
SHQ Müdahale Platformu, günlük korelasyonu için Yapay Zekayı (AI) kullanıyor, farklı kaynaklardan bilgi çekiyor ve bunu tek bir olay sayfasında görselleştiriyor. Buradan kritik veriler net bir zaman çizelgesinde sunulur ve yapılar portalda otomatik olarak güncellenir.
Araştırmacı analist, en önemli verilerin tek bir yerde sunulmasıyla gürültüyü ortadan kaldırabilir ve tek bir arayüzde kalabilir. Artık birden fazla günlük kaynağı arasında geçiş yapmaları veya ilgili günlükleri toplamak ve daha sonra bir güvenlik olayının öyküsünü anlamak için manuel SIEM aramaları yapmaları gerekmiyor.
 |
| Şekil 1: Olay Grafiği, SHQ Müdahale Platformu ©2024 SecurityHQ |
Zaman çizelgesi işlevi aynı zamanda analistin bir uyarının veya kullanım senaryosu tetikleyicisinin arkasındaki mantığı araştırmasına da olanak tanır. Bu, arka uç entegre araçlar kullanılarak otomatik olarak engellenebilen ilgili Tehlike Göstergeleri (IoC’ler) ile gösterilmektedir.
Kıdemli Paydaşlar için Olay Müdahale Platformu
Yanlış pozitiflere boğulmuş bunalmış analistler yaygın bir durumdur. SecurityHQ’daki Küresel SOC operasyonları başkanı Deodatta Wandhekar bunu en iyi şekilde şöyle açıkladı:
‘SOC Olaylarının yüzde altmışı, temeldeki hafifletilmemiş riskler nedeniyle yeniden yüzeye çıkan tekrarlanan bulgulardır. Aktörler farklı olabilir; ancak risk çoğunlukla aynıdır. Bu da ciddi bir uyarı yorgunluğuna neden oluyor.’
Bir yandan teknik ayrıntı düzeyini korurken, hem iş hedeflerine hem de risk iştahına net bir şekilde odaklanarak bu boşluğun nasıl kapatılacağını düşünmek gerekir.
İşbirliği ve Strateji için Risk Kaydı
SecurityHQ’nun yerleşik Risk Kaydı, analistlerin ve iş liderlerinin, stratejik iş kararlarını bilgilendirmek için operasyonel personelin teknik zekasını kullanarak azaltma faaliyetlerini yönlendirmek için birlikte çalışmasına olanak tanır.
Bu, analistlerin bir siber güvenlik programını yönlendirmede rol oynamasına olanak tanır. Bir düzeyde teknik sahipliğe sahip olunması, operasyonel analistler ve yönetim personeli arasında daha işbirlikçi bir yaklaşımı teşvik eder. Ayrıca, bir zamanlar aşırı çalışan analistlerin emeklerinin meyvelerinin daha geniş iş uygulamalarına yansıdığını açıkça görmelerine olanak tanır.
Sonraki adımlar
Hem danışmanlık ortağı hem de böyle bir platformun sahibi olarak SecurityHQ, sezgisel ve yönetici dostu bir risk kaydı sağlayarak yönetim ve analistler arasında daha iyi bir ilişki geliştirilmesine katkıda bulunur.
Buradan hareketle, bir Hizmet Seviyesi Anlaşması (SLA) dahilinde sadece ‘yangınla mücadele’ ve olayları kapatmak yerine proaktif yaklaşımlara ve yol haritalarına odaklanmak, bir şirkette anlamlı bir değişim fırsatı yaratır.
Daha fazla bilgi için buradan bir uzmanla konuşun. Bir güvenlik olayından şüpheleniyorsanız olayı buradan bildirin.
Not: Bu makale SecurityHQ Kıdemli Siber Güvenlik Müdürü Tim Chambers tarafından ustalıkla yazılmıştır.