SANS Enstitüsü tarafından yayımlanan 2026 SOC Araştırması, güvenlik operasyon merkezlerinin (SOC) karşılaştığı en büyük operasyonel zorluğun yetenekli personel eksikliği olduğunu ortaya koyuyor. Araştırma, izleme ve güvenlik operasyonları (SecOps) rollerinde aktif olarak çalışan 444 BT ve güvenlik uzmanı ile 69 CISO ve üst düzey güvenlik yöneticisiyle yapılan görüşmelere dayanıyor. Sonuçlar, personel bulma ve elde tutma konusunda uygulayıcılar ve liderler arasında belirgin bir algı farkı olduğunu gösteriyor.
Araştırmaya göre, uygulayıcıların %14'ü personel eksikliğini en büyük sorun olarak belirtirken, bu oran en yüksek yanıt olarak kaydedildi. Buna karşılık, görüşülen 'siber liderlerin' %59'u yönetimin SOC işe alım ve elde tutma ihtiyaçlarına yakından dikkat ettiğini söyledi. Oysa uygulayıcılar arasında bu oran sadece %32'de kaldı. Rapor, bu 27 puanlık farkın sorunun her yıl sorulduğu dönemlerde devam ettiğine dikkat çekiyor: 'Yöneticiler bir niyet tanımlıyor. Uygulayıcılar bir sonuç tanımlıyor. Her ikisi de aynı karar sürecinin farklı bölümlerinin doğru açıklamaları ve aralarındaki mesafe, elde tutma sorunlarının doğduğu yerdir.'
Bununla birlikte, her iki taraf da SOC'nin karşılaştığı zorluklar konusunda birbirlerine sandıklarından daha yakın. Siber liderlerin %22'si yönetimin elde tutma taleplerini dinlediğini ancak aciliyeti anlamadığını kabul ederken, %14'ü yönetimlerinin SOC personel ihtiyaçlarıyla hiç ilgilenmediğini söyledi. İşe alımda en çok aranan beceri SIEM olurken, talebi EDR'nin neredeyse iki katı olarak kaydedildi. Ancak günlük SOC müdahalelerinin çoğu (%86) SIEM uyarılarından (%78) ziyade uç nokta güvenlik uyarılarından geliyor. Bu durum, SOC ekiplerinin SIEM becerilerine olan ihtiyacına rağmen, gerçek dünyada daha fazla uç nokta uyarısıyla karşılaştıklarını gösteriyor.
Sonuç ve Değerlendirme
Araştırma ayrıca yapay zekanın SOC üzerindeki etkisinin boyutunu da ortaya koyuyor. Katılımcıların %79'u yapay zeka veya makine öğrenimi araçlarını kullandığını belirtirken, yalnızca %36'sı bunları tanımlanmış bir SOC iş akışına entegre etmiş durumda. En popüler yaklaşım, özelleştirme olmadan mevcut satıcı araçlarını kullanmak (%38). Sadece %31'i mevcut araçları özelleştirirken, %20'si kendi araçlarını geliştiriyor. Rapor, 'Analistler, genellikle bu araçların nasıl kullanıldığı, doğrulandığı veya yönetildiği konusunda kurumsal bir yapı olmadan bireysel olarak yapay zeka araçlarına yöneliyor. Teknolojinin bu kadar hızlı gelmesi göz önüne alındığında bu şaşırtıcı değil. Ancak bu, operasyonel risk taşıyan bir olgunluk açığını temsil ediyor' diyor.
Sistem Güvenliği
SANS, yapay zekanın yapılandırılmamış bir şekilde kullanılmasının verimsiz olduğu ve doğrulanamayan sonuçlar üretebileceği konusunda uyarıyor. İnsanın döngüde kalmasının, araçların çıktılarını yorumlamak için hayati önem taşıdığı vurgulanıyor. Rapor, 'Çoğu SOC, belgelenmiş yetenek boşluklarını gideren satıcı tarafından sağlanan yapay zeka araçlarını belirleyerek, bunları operasyonel olarak dağıtarak ve sonuçları mevcut metriklerle ölçerek başlamalıdır. Bariz kullanım durumları ele alındıktan sonra kuruluşlar özelleştirmeyi ve gerekçelendirildiğinde amaca yönelik çözümleri keşfedebilir' önerisinde bulunuyor. Bu yaklaşım, SOC ekiplerinin yapay zekayı daha verimli ve güvenilir bir şekilde kullanmalarına yardımcı olacak.
Rapor, SOC'lerin karşılaştığı diğer zorlukları da sıralıyor. Olgunluk ve kapsam boşlukları, özellikle büyük ölçekli kuruluşlarda daha belirgin hale geliyor. Birçok SOC, tehdit avcılığı, olay müdahalesi ve zafiyet yönetimi gibi kritik alanlarda yeterli personele sahip olmadığı için sürekli olarak reaktif modda çalışıyor. Ayrıca, farklı güvenlik araçları arasındaki entegrasyon eksikliği, SOC ekiplerinin verimliliğini düşürüyor ve yanlış pozitif oranlarını artırıyor. SANS, bu sorunların üstesinden gelmek için kuruluşların SOC olgunluk modellerini değerlendirmesi, personel gelişimine yatırım yapması ve yapay zeka araçlarını stratejik olarak benimsemesi gerektiğini belirtiyor. Özellikle, yapay zekanın yapılandırılmış bir şekilde kullanılması ve insan denetiminin sağlanması, SOC'lerin karşılaştığı zorlukların aşılmasında kritik rol oynayacak.
Kaynak: infosecurity-magazine.com