SOC'deki güvenlik analistleri, olayları kaçırma konusunda endişelenmelerine gerek kalmaması için otomatikleştirilmiş tehdit algılama istiyor. "Analistlerin Sesi" anketi, bir yanlış pozitif selinin neden olduğu artan alarm yorgunluğunun üstesinden gelme arzusunu gösteriyor.
İstihbarat tabanlı güvenlik şirketi FireEye, Inc., "Analistlerin Sesi: Uyarlanmış Teknolojiler Yoluyla Güvenlik Operasyonları Merkezi Süreçlerini İyileştirme" (ekli) başlıklı IDC brifingini sunar. 350 dahili güvenlik analisti ve yönetilen güvenlik hizmeti sağlayıcısı (MSSP) ile yapılan temel anket, bunların giderek daha verimsiz hale geldiklerini ortaya koydu. Bunun nedeni, göz ardı edilen uyarılara, artan strese ve güvenlik olaylarını kaçırma endişesine yol açan yaygın bir "uyarı yorgunluğu"dur. Ankete katılan analistler, Güvenlik Operasyonları Merkezlerinin (SOC) iş tatminini ve etkinliğini artırmak için çeşitli faaliyetleri otomatikleştirmek istiyor.
SOC'deki güvenlik analistleri bilgi yağmuruna tutuldu
FireEye'de müşteri başarısından sorumlu başkan yardımcısı Chris Triolo, "Güvenlik analistleri, farklı çözümlerden kaynaklanan bir yanlış pozitif seli karşısında şaşkına dönüyor ve gerçek bir tehdidi kaçırdıkları konusunda giderek daha fazla endişe duyuyorlar" dedi. "Bu zorluğun üstesinden gelmek için analistlerin, olayları kaçırma endişesini azaltan ve böylece SOC'yi güçlendiren Genişletilmiş Tespit ve Yanıt (XDR) gibi gelişmiş otomasyon araçlarına ihtiyacı var."
Yükselen uyarılar, güvenlik analistleri üzerindeki baskıyı artırarak, zamanlarının neredeyse yarısını yanlış pozitiflere harcamalarına neden oluyor.
- Yanlış alarmlar "alarm yorgunluğuna" yol açar: Analistler ve BT güvenlik yöneticileri, ankete katılanlara göre her gün yüzde 45'i yanlış pozitif olan binlerce rapor alıyor. Bu, dahili analistlerin verimliliğini azaltır ve iş akışlarını yavaşlatır. Ankete katılanların yüzde 35'i, SOC'deki mesaj seliyle başa çıkabilmek için alarmları görmezden geldiklerini belirtti.
- MSSP'ler yanlış pozitifleri tetiklemek için daha fazla zaman harcıyor ve daha fazla uyarıyı görmezden geliyor: MSSP analistleri, aldıkları uyarıların yüzde 53'ünün yanlış pozitif olduğunu bildirdi. Bu arada, yönetilen hizmet sağlayıcı analistlerinin yüzde 44'ü, sıraları dolduğunda uyarıları görmezden geldiklerini ve bunun birden fazla müşteri için güvenlik ihlaline yol açabileceğini söyledi.
Kayıp Olay Korkusu (FOMI), güvenlik analistlerinin ve yöneticilerinin çoğunu etkiler.
- Analistler uyarıları manuel olarak yönetmeyi daha zor buldukça, bir olayı kaçırma endişeleri de artıyor: dört analistten üçü kaçırılan olaylardan endişe duyuyor ve dört analistten biri kaçırılan olaylardan "çok" endişeleniyor .
- Bu FOMI, güvenlik yöneticilerini analistlerinden daha fazla rahatsız ediyor: Güvenlik yöneticilerinin yüzde 6'sından fazlası olayları kaçırma korkusuyla kötü uyuduklarını söyledi.
Analistler, FOMI'ye karşı koymak için otomatikleştirilmiş SOC çözümlerine ihtiyaç duyar.
- Kurumsal güvenlik ekiplerinin yarısından azı şu anda SOC'nin faaliyetlerini otomatikleştirmek için araçlar kullanıyor: Çalışma, güvenlik analistlerinin uyarıları incelemek için tercih ettiği araçları ortaya koyuyor. Yarıdan az yapay zeka ve makine öğrenimi (yüzde 43), güvenlik orkestrasyon otomasyonu ve müdahale (SOAR) araçları (yüzde 46), güvenlik bilgileri ve olay yönetimi (SIEM) yazılımı (yüzde 45), tehdit Avcılığı (yüzde 45) gösteriyor. ve diğer güvenlik özellikleri. Ek olarak, beş analistten yalnızca ikisi yapay zeka ve makine öğrenimini diğer araçlarla birlikte kullanıyor.
- Gelişmiş otomatik çözümler, analistlerin tehdit avı ve siber soruşturmalar gibi daha zorlu görevlere odaklanmasına izin vererek güvenlik ekiplerinin uyarı yorgunluğunu azaltır ve SOC başarısını artırır: Analistler en çok tehdit algılama otomasyonu (yüzde 18), ardından tehdit istihbaratı (yüzde 13) ve olay triyajı (yüzde 9).
IDC haber bülteni metodolojisi
IDC, finans, sağlık ve devlet gibi sektörlerde SOC'lerde çalışan 300 ABD BT güvenlik yöneticisi ve güvenlik analistinin yanı sıra 50 yönetilen güvenlik hizmeti sağlayıcısıyla SOC'lerini yönetirken karşılaştıkları zorluklar hakkında bir anket yaptı. Anket 2020 sonbaharında yapılmıştır. Bu IDC haber bülteni daha önce artık FireEye'ın bir parçası olan Respond Software tarafından destekleniyordu.
FireEye.com'da daha fazla bilgi edinin
Trellix Hakkında Trellix, siber güvenliğin geleceğini yeniden tanımlayan küresel bir şirkettir. Şirketin açık ve yerel Genişletilmiş Algılama ve Yanıt (XDR) platformu, günümüzün en gelişmiş tehditleriyle karşı karşıya olan kuruluşların operasyonlarının korunduğu ve dirençli olduğu konusunda güven kazanmasına yardımcı olur. Trellix güvenlik uzmanları, kapsamlı bir iş ortağı ekosistemiyle birlikte, 40.000'den fazla işletme ve devlet müşterisini desteklemek için makine öğrenimi ve otomasyon yoluyla teknolojik yeniliği hızlandırır.