SANS Enstitüsü tarafından yayınlanan 2026 SOC Araştırması, güvenlik operasyon merkezlerinin (SOC) karşılaştığı en büyük operasyonel zorluğun yetenekli personel eksikliği olduğunu ortaya koydu. Ancak araştırma, yöneticiler ve uygulayıcılar arasında işe alım ihtiyaçları konusunda belirgin bir algı farkı olduğunu da gösteriyor. 444 IT ve güvenlik profesyoneli ile 69 CISO ve üst düzey güvenlik yöneticisinin katılımıyla gerçekleştirilen çalışma, SOC'lerin karşılaştığı insan kaynağı sorunlarının derinliğini gözler önüne seriyor.
Araştırmaya göre, uygulayıcıların %14'ü personel eksikliğini en büyük sorun olarak belirtirken, bu oran en yüksek yanıt oldu. Ancak 'siber liderler' olarak adlandırılan yöneticilerin %59'u, yönetimin SOC işe alım ve elde tutma ihtiyaçlarına yakından dikkat ettiğini söyledi. Buna karşılık, uygulayıcıların sadece %32'si aynı görüşteydi. Raporda, 'Bu %27'lik fark, sorunun sorulduğu her yıl devam etti' ifadesi yer aldı. 'Yöneticiler bir niyet tanımlarken, uygulayıcılar bir sonuç tanımlıyor. Her ikisi de aynı karar sürecinin farklı bölümlerinin doğru açıklamaları ve aralarındaki mesafe, elde tutma sorunlarının doğduğu yerdir.'
Her iki taraf da SOC'nin karşılaştığı zorluklar konusunda birbirlerine düşündüklerinden daha yakın. Siber liderlerin %22'si, yönetimin elde tutma taleplerini dinlediğini ancak aciliyeti anlamadığını kabul ederken, %14'ü yönetimin SOC personel ihtiyaçlarıyla hiç ilgilenmediğini söyledi. İşe alımda en çok aranan beceri SIEM olurken, talebi EDR'nin neredeyse iki katı olarak kaydedildi. Ancak günlük SOC yanıtlarının çoğu (%86) endpoint güvenlik uyarılarından gelirken, SIEM uyarıları %78'de kaldı.
Araştırma, AI'nın SOC üzerindeki etkisinin boyutunu da ortaya koydu. Katılımcıların %79'u AI veya makine öğrenimi (ML) araçları kullandığını belirtirken, sadece %36'sı bunları tanımlanmış bir SOC iş akışına entegre etmiş durumda. En popüler yaklaşım, mevcut satıcı araçlarını özelleştirmeden kullanmak (%38). Sadece %31'i mevcut araçları özelleştirirken, %20'si kendi araçlarını geliştiriyor. Raporda, 'Analistler, genellikle bu araçların nasıl kullanıldığı, doğrulandığı veya yönetildiği konusunda kurumsal bir yapı olmadan bireysel olarak AI araçlarına yöneliyor' denildi. 'Bu, teknolojinin ne kadar hızlı geldiği düşünüldüğünde şaşırtıcı değil. Ancak operasyonel risk taşıyan bir olgunlaşma açığını temsil ediyor.'
SANS, yapılandırılmamış bir şekilde AI kullanımının verimsiz olduğu ve doğrulanamayan sonuçlar üretebileceği konusunda uyardı. Araç çıktılarını yorumlamak için insanın döngüde kalmasının hayati olduğu vurgulandı. Raporda, 'Çoğu SOC, belgelenmiş yetenek boşluklarını ele alan satıcı tarafından sağlanan AI araçlarını belirleyerek, bunları operasyonel olarak dağıtarak ve mevcut metriklerle sonuçları ölçerek başlamalıdır' ifadesi yer aldı. 'Bariz kullanım durumları kapsandıktan sonra, kuruluşlar özelleştirmeyi ve gerekçelendirildiğinde özel çözümleri keşfedebilir.'
Rapor, SOC'lerin karşılaştığı diğer zorlukları da sıraladı. Olgunluk ve kapsama alanı boşlukları, tehdit istihbaratı entegrasyonu ve otomasyon eksiklikleri gibi konular öne çıktı. SOC'lerin artan tehdit ortamında etkin kalabilmesi için hem insan kaynağına hem de teknolojiye yatırım yapması gerektiği vurgulandı. AI'nın SOC'ye entegrasyonu konusunda yapısal bir yaklaşım benimsenmesi ve yönetici-uygulayıcı iletişiminin güçlendirilmesi önerildi.
Kaynak: infosecurity-magazine.com