SecOps liderleri rollerinde çeşitli zorluklarla karşı karşıya kalırken, en büyük iki zorluk siber alandaki beceri açığını kapatma zorluğu ve yaygın olarak kullanılan araçları kullanma ve araştırma zorluğudur.
Command Zero’daki araştırmacılar bir rapor yayınladı 15 sektörden siber güvenlik uzmanlarıyla yapılan yüzlerce detaylı görüşmeden toplanan verilerle, baş bilgi güvenliği görevlilerinin (CISO’lar) ve diğer liderlerin karşılaştığı zorluklar üzerine. Araştırmacılar, son 40 yılda belirli yeniliklerin, İnternet, cep telefonları ve bulut bilişimin yaratılması gibi “dijital yenilik” dalgalarının işaretleri olduğunu savunuyor. Şimdi, en son yenilik dalgası yapay zeka (AI) biçiminde geliyor. Tüm bu alanlarda, sağladıkları avantajlar derin güvenlik zorluklarıyla birlikte geliyor.
Yetenek Nerede?
Birincil ve görünüşte bariz zorluk şudur: Siber güvenlikte beceri eksikliğiRaporda, siber soruşturmalar alanında tüm disiplinlerin, ancak özellikle siber soruşturmalar alanında, kritik öneme sahip olduğu belirtiliyor.
Bunun nedeni muhtemelen ortalama bir siber araştırmacının böyle bir pozisyon için yeterlilik kazanmak için kapsamlı gereklilikleri karşılaması gerektiğidir. Araştırmacılara göre, bu tür analistlerin analiz söz konusu olduğunda “konu uzmanı” olmaları ve veri kaynakları hakkında yönetici düzeyinde bilgiye sahip olmaları gerekir.
Bu yüksek yeterlilik ve bilgi çıtasını karşılayan siber profesyonellerin devam eden kıtlığı göz önüne alındığında, mevcut ekipler incecik gerilmiş durumda, bazıları en son tehditlerle başa çıkmak için iki işte çalışıyor. Bu bir işletmeyi ayakta tutabilirken, aynı zamanda tükenmişliğe, gözden kaçırmalara ve nihayetinde potansiyel tehditleri azaltmanın genel etkinliğinde bir azalmaya yol açabilir.
Ek olarak, bu tür bir analist olmak için böylesine önemli bir bilgi birikimi oluşturmanın bir parçası, sürekli öğrenmenin önemini vurgulayan ve destekleyen bir ortamda çalışmaktır. Ancak araştırmacılara göre “ekipler sürekli yangın söndürme modunda olduğunda bu zorlayıcıdır.”
Bu eksiklik nedeniyle, görüşülen kişilerin %88’i tehditler artmaya devam ederken personel eksikliği nedeniyle operasyonel sorunlar konusunda endişelerini dile getirdi. Sadece bu değil, katılımcıların %74’ü ekiplerinin “yüksek kaliteli soruşturmalar” gerçekleştirmek için yeterli genel bulut becerisine sahip olmadığını hissettiklerini söyledi.
Command Zero, şirketlerin bu sorunlara öncelik vermelerini ve analistlere yatırım yaparak ve iş memnuniyetini artırarak bu sorunları çözmelerini, böylece işten ayrılma oranlarını azaltmalarını ve yetenekleri elde tutma oranlarını iyileştirmelerini öneriyor.
SecOps Araçlarında Kesinlik Yok
Üç araç, sektördeki SOC ve IR ekipleri tarafından en yaygın kullanılan SecOps araçları arasındadır: uç nokta ve diğer algılama ve yanıt (EDR/XDR); güvenlik bilgisi ve olay yönetimi (SIEM); ve güvenlik orkestrasyonu, otomasyonu ve yanıt (SOAR). Üçü de siber profesyoneller için kendi zorluklarını ortaya koymaktadır.
Araştırmacılara göre EDR/XDR en çok güvenilen araştırma aracıdır, ancak ağ ve bulut telemetrisini ilişkilendirme konusunda sınırları vardır. Ayrıca pahalıdır — EDR/XDR’yi “bulut ortamlarında ölçeklenebilir” olarak kullanmak maliyetli olabilir, yani kullanıldığında tam potansiyeline ulaşamaz ve bu da görünürlükte boşluklara yol açar.
Katılımcıların yaklaşık %59’u SIEM’i soruşturmalar için kullanmanın getirdiği personel maliyetlerine işaret etti. Dördün üçü, “veri kaynaklarını SIEM ve SOAR’a entegre etmek için gereken kaynak ve beceri eksikliği” yaşadıklarını bildirirken, bazıları sistemleri çalışır durumda tutmak için üçüncü bir tarafın hizmetlerini kullanıyor.
İkisi arasında muhtemelen bir korelasyon var, çünkü SIEM’i dağıtma, özelleştirme ve sürdürme son derece uzmanlaşmış beceriler gerektirir; bu becerilerin eğitimi masraflıdır, bu nedenle bunların yetiştirilmesi ve geliştirilmesi masraflıdır, özellikle de bu kadar yüksek talep gördüklerinde personel için daha da masraflıdır.
Ne yazık ki, bu üç araçtan hiçbiri tüm BT sistemlerinin %100 kapsamını elde etmek için çabalamıyor. Araştırmacılar, şirketlerin güvenlik operasyonları için kavramsal ve teknoloji tabanlı eğitime yatırım yapmalarını ve sahip olabilecekleri güvenlik açıklarını belirlemelerini öneriyor.
Personel Sıkıntısı mı, İş Açıkları mı: Hangisi Daha Önemli?
Siber endüstrisi yıllardır personel eksikliğinden şikayet ediyor ve bireyleri çok şey sunabileceğini iddia eden bir endüstrideki işlere başvurmaya teşvik ediyor. Ama gerçekten işe alan var mı? Görünüşe göre öyle, ancak başvuranların çok nitelikli olması gerekiyor.
“Siber rollerinin çoğu BT’de disiplinler arası deneyim ve yetenekler gerektirir,” diyor Dark Reading’e araştırmacılar ve işe alımın zor olduğunu belirtiyorlar. “Sadece bir tür sistemde uzmanlaşmayı gerektiren bir sistem yöneticisi rolünün aksine, siber roller ağ, uç nokta, uygulamalar ve sistemler hakkında temel bir anlayış gerektirir. Bu, bu rolleri doldurmayı zorlaştırır.”
Ayrıca birçok rekabetçi şirketten aynı nitelikli bireylere yönelik yüksek bir talep var. Bu, bu bireylerin çok sayıda seçeneğe sahip olması ve sonsuz bir kısır döngüde yoğun bir devir oranına neden olması anlamına geliyor.
Bir rol elde etmek için önerileriniz? Okuldayken siber stajlar ve yarı zamanlı işler arayın veya deneyim kazanmanıza yardımcı olacak bitişik rolleri hedefleyin.
Araştırmacılar, “Siber dünyaya giden yolunuz ağ, sistem mühendisliği veya yazılım geliştirme olabilir,” diyor. “Bu kulağa mantıksız gelse de, birçok güvenlik uzmanı kariyerine BT’de güvenlik uzmanı olmayan biri olarak başladı. Bu nedenle, bir ağ görevlisi veya sistem mühendisi olarak başlamak, siber dünyaya girmek için ihtiyaç duyduğunuz disiplinler arası deneyimin bir kısmını size kazandırabilir.”
Ve öğrenme asla bitmez. “Siber ne kadar hızlı evrimleştiğinden dolayı,” diye eklediler, “kariyeriniz boyunca profesyonel gelişiminize yatırım yapmaya devam etmeniz gerekir.”
