Güvenlik operasyon merkezlerinin (SOC) karşılaştığı en büyük operasyonel zorluk, yetenekli personel eksikliği olarak öne çıkıyor. SANS Enstitüsü tarafından yayımlanan 2026 SANS SOC Araştırması, bu sorunun yöneticiler ve sahadaki uygulayıcılar arasında farklı algılandığını gösteriyor. Araştırmaya katılan 444 IT ve güvenlik profesyoneli ile 69 CISO ve üst düzey güvenlik yöneticisinin yanıtları, personel sorununun SOC'ların en kritik meselesi olduğunu teyit ediyor.
Araştırmaya göre, uygulayıcıların %14'ü personel sorununu en büyük zorluk olarak belirtirken, bu oran en yüksek yanıt oldu. Ancak siber liderlerin %59'u yönetimin SOC işe alım ve elde tutma ihtiyaçlarına yakından dikkat ettiğini söylerken, bu oran uygulayıcılarda yalnızca %32'de kaldı. Raporda belirtildiği gibi, "Bu %27'lik fark, sorunun sorulduğu her yıl devam etti." Yöneticiler niyetleri, uygulayıcılar ise sonuçları anlatıyor; aradaki mesafe elde tutma sorunlarının kaynağını oluşturuyor.
İki taraf arasındaki algı farkına rağmen, SOC'nin karşılaştığı zorluklar konusunda aslında düşünülenden daha yakınlar. Siber liderlerin %22'si yönetimin elde tutma taleplerini dinlediğini ancak aciliyeti anlamadığını kabul ederken, %14'ü yönetimin SOC personel ihtiyaçlarıyla hiç ilgilenmediğini belirtti. Bu durum, işe alım ve eğitim süreçlerinde daha fazla iş birliği gerektiğini ortaya koyuyor.
Önemli Gelişmeler
Siber güvenlik alanında en çok aranan beceri SIEM (Güvenlik Bilgisi ve Olay Yönetimi) olurken, talebi EDR (Uç Nokta Tespit ve Yanıt) becerilerinin neredeyse iki katı. Ancak günlük SOC müdahalelerinin %86'sı uç nokta güvenlik uyarılarından gelirken, SIEM uyarıları %78 oranında kalıyor. Bu, SOC'ların SIEM becerilerine yatırım yapması gerektiğini ancak pratikte uç nokta güvenliğinin daha fazla ön planda olduğunu gösteriyor.
Teknik Analiz
Yapay zeka (YZ) SOC'lerde hızla yaygınlaşıyor. Katılımcıların %79'u YZ veya makine öğrenimi araçları kullandığını belirtirken, yalnızca %36'sı bunları tanımlı bir SOC iş akışına entegre etmiş durumda. En yaygın yaklaşım (%38), mevcut satıcı araçlarını özelleştirmeden kullanmak. Sadece %31'i araçları özelleştirirken, %20'si kendi araçlarını geliştiriyor. Raporda, "Analistler, genellikle organizasyonel yapı olmadan bireysel olarak YZ araçlarına yöneliyor. Bu, teknolojinin hızlı gelişimi göz önüne alındığında şaşırtıcı değil ancak operasyonel risk taşıyan bir olgunlaşma açığı oluşturuyor" deniyor.
SANS, yapılandırılmamış YZ kullanımının verimsiz olduğu ve doğrulanamayan sonuçlar üretebileceği konusunda uyarıyor. İnsan denetiminin araç çıktılarını yorumlamada hayati olduğu vurgulanıyor. Rapor, "Çoğu SOC, belgelenmiş yetenek boşluklarını gideren satıcı tarafından sağlanan YZ araçlarını belirleyerek, bunları operasyonel olarak dağıtarak ve mevcut metriklerle sonuçları ölçerek başlamalı" diyor. Bariz kullanım durumları ele alındıktan sonra özelleştirme ve gerekirse özel çözümlere geçilmesi öneriliyor.
Kaynak: infosecurity-magazine.com