SANS Araştırması: Yetenek Eksikliği SOC'ların En Büyük Sorunu, Yönetici ve Uygulayıcı Algıları Farklı Yazılım

SANS Araştırması: Yetenek Eksikliği SOC'ların En Büyük Sorunu, Yönetici ve Uygulayıcı Algıları Farklı

SANS 2026 SOC Araştırması, personel eksikliğinin güvenlik operasyon merkezlerinin en büyük sorunu olduğunu, yönetici ve uygulayıcı algılarında 27 puan

SANS Enstitüsü tarafından yayımlanan 2026 SOC Araştırması, güvenlik operasyon merkezlerinin (SOC) en büyük operasyonel zorluğunun nitelikli personel eksikliği olduğunu ortaya koydu. Araştırma, izleme veya güvenlik operasyonları (SecOps) rollerinde aktif olarak çalışan 444 BT ve güvenlik profesyoneli ile ek 69 CISO ve üst düzey güvenlik yöneticisiyle yapılan görüşmelere dayanıyor. Uygulayıcıların %14'ü personel eksikliğini en büyük sorun olarak belirtirken, siber liderlerin %59'u yönetimin SOC işe alım ve elde tutma ihtiyaçlarına yakından dikkat ettiğini iddia etti. Bu oran uygulayıcılarda sadece %32'de kaldı ve aradaki 27 puanlık farkın her yıl aynı kaldığı belirtildi.

Rapor, yöneticilerin niyet, uygulayıcıların ise sonuç tanımladığını vurguluyor. Her iki tarafın da aynı karar sürecinin farklı kısımlarını doğru olarak aktardığı, ancak aralarındaki mesafenin elde tutma sorunlarının kaynağı olduğu ifade edildi. Öte yandan, siber liderlerin %22'si yönetimin elde tutma taleplerini dinlediğini ancak aciliyeti anlamadığını kabul ederken, %14'ü yönetimin SOC personel ihtiyaçlarıyla hiç ilgilenmediğini söyledi. İşe alımlarda en çok aranan beceri SIEM olurken, EDR'ye olan talebin neredeyse iki katına çıktığı gözlendi. Günlük SOC yanıtlarının çoğunun (%86) uç nokta güvenlik uyarılarından geldiği, SIEM uyarılarının ise %78'de kaldığı belirtildi.

Araştırma, yapay zekanın (YZ) SOC üzerindeki etkisini de gözler önüne serdi. Katılımcıların %79'u YZ veya makine öğrenimi (ML) araçları kullandığını belirtirken, sadece %36'sı bunları tanımlanmış bir SOC iş akışına entegre etmiş durumda. En popüler yaklaşım, özelleştirme yapmadan mevcut satıcı araçlarını kullanmak (%38). Yalnızca %31'i mevcut araçları özelleştirirken, %20'si kendi araçlarını geliştiriyor. Raporda, analistlerin bireysel olarak YZ araçlarına yöneldiği, ancak bunların kullanım, doğrulama ve yönetimi etrafında organizasyonel bir yapı olmadığı vurgulandı. Bu durumun, teknolojinin hızlı gelişimi göz önüne alındığında şaşırtıcı olmadığı, ancak operasyonel risk taşıyan bir olgunlaşma açığı oluşturduğu belirtildi.

SANS, yapılandırılmamış YZ kullanımının verimsiz olduğu ve doğrulanamayan sonuçlar üretebileceği uyarısında bulundu. Araçların çıktılarını yorumlamak için insanın süreçte kalmasının hayati olduğu vurgulandı. Rapor, çoğu SOC'nin önce belgelenmiş yetenek açıklarını gideren satıcı tarafından sağlanan YZ araçlarını belirlemesi, bunları operasyonel olarak dağıtması ve sonuçları mevcut metriklerle ölçmesi gerektiğini önerdi. Ayrıca, belirgin kullanım durumları kapsandıktan sonra kuruluşların özelleştirme ve gerektiğinde amaca yönelik çözümler keşfedebileceği ifade edildi.

Paylaş: