Siber güvenlik dünyasında, tehditlerin sürekli artması ve saldırıların sayısız alert (uyarı) oluşturması, güvenlik profesyonellerinin kabusu haline gelmiştir. Alert yorgunluğu olarak adlandırılan bu durum, güvenlik operasyonlarını olumsuz etkilemektedir. Bir 1Password çalışmasına göre, güvenlik profesyonellerinin %84’ü tükenmişlik hissetmektedir. Bu durum, kurumlar için tehlikeli bir döngüyü tetikler ve tüm organizasyonu olumsuz etkiler. Güvenlik kuralları ve politikalarıyla uğraşmakla vakit kaybeden tükenmiş güvenlik profesyonellerinin sayısı, az tükenmiş olanlardan iki kat daha fazladır (%44’e karşı %19). Tükenmişlik yaşayan güvenlik uzmanlarının yaklaşık üçte biri yeni iş arayışında veya istifaya hazırdır, bu oran, tükenmişlik yaşamayanlardan beş kat daha fazladır (%32’ye karşı %6).
Her gün milyarlarca saldırı gerçekleştiren siber korsanlar, dünyanın güvenlik operasyon merkezlerini (SOC) doldurarak bilgi güvenliği yöneticisinin (CISO) en büyük baş ağrılarından birini oluşturur. Bu süreç, şu şekilde gerçekleşir:
- Uyarı etkinliklerinin yüksek hacmi alert yorgunluğuna yol açar..
- Bu da kaçırılan saldırılara ve..
- Tükenmeye neden olur..
Bu durum, motivasyonun azalmasına, hatalara ve hizmet kalitesinin düşmesine, çalışanların sağlık (fiziksel ve zihinsel) durumunun bozulmasına ve… İşten ayrılmalarına (ve belki de sektörden çıkmalarına) yol açar.
Alert yorgunluğu, güvenlik operasyon merkezi analistlerinin (SOC) çok sayıda uyarı almasından kaynaklanır. Bu uyarıların birçoğu yanlış pozitifler veya düşük öncelikli olabilir, bu da duyarsızlaşmaya veya duyarsızlığa neden olur. Ponemon Enstitüsü’ne göre, tipik bir güvenlik operasyon merkezi, verilerini ve sistemlerini korumak için onlarca araç kullanır ve bu araçlar sayesinde sayıları sayılamayacak kadar çok uyarı oluşur. Tam olarak kaç uyarı olduğuna dair tahminler değişse de, Forrester’ın 2020 analizine göre günlük uyarı sayısı 11,000’in üzerindedir. Trend Micro’nun bir raporuna göre, SOC ekibinin yarısından fazlası uyarıların yükünden “bunalır”. Başka bir anket ise “katılımcıların yarısından fazlasının uyarılar arasından hangi uyarıya öncelik verilmesi gerektiğini belirlemek için %20’den fazla zaman harcadığını” gösteriyor.
Uyarılar çoğunlukla zaman kaybettiricidir. IDC’ye göre, bir uyarıyı incelemek yaklaşık yarım saat alır. Yanlış pozitifler ise daha uzun zaman alır (ve bir anketin sonuçlarına göre %81’in üzerindeki katılımcılarının bulut uyarılarının beşte birinden fazlasının yanlış pozitif olduğunu söyler).
Büyük bir veri istihbarat şirketinin CISO’su şöyle açıklamıştır: “Günlük 10,000 log satırına bir insanın bakması mümkün değil. Uyarıları anlamaları için insanların tehdit istihbaratını ve bilinen saldırı modellerini görmeleri gerekiyor.”
Ancak, uyarıların sayısının ve SOC’un bunları incelemek için yeterli kapasitesinin arasındaki uçurum çok büyüktür. IDC’nin bir araştırmasına göre, 500-1,499 çalışana sahip şirketlerin uyarıların %27’sini görmezden gelir veya araştırmaz. Bu oran, 1,500-4,999 çalışana sahip şirketlerde %30 ve 5,000 veya daha fazla çalışana sahip şirketlerde %23’tür.
Bu durumda, pahalı hatalar istatistiksel olarak kaçınılmazdır. Bir anketin katılımcılarının yarısından fazlası kritik uyarıların gözden kaçtığını belirtiyor. Bunların %41’i haftalık düzeyde, %22’si ise günlük düzeyde kaçırıldığını ifade ediyor.
Peki, “kritik” olan neye benziyor?
Zamanla, yanlış pozitifler gerçek güvenlik uyarılarını göz ardı etmeye yol açabilir, örneğin Target’ın 2013 veri ihlali olayında olduğu gibi. Güvenlik şirketi FireEye, Target’ın ağındaki kötü amaçlı yazılımı fark etti ve en az beş kez alarm verdi, ancak perakende devinin Minneapolis’teki güvenlik ekibi bu uyarıları ciddiye almadı. Kötü amaçlı yazılım, kanun uygulayıcılar sonunda olaya müdahale edene kadar neredeyse iki hafta boyunca veri çıkardı. Bu olay, ABD tarihindeki en büyük perakende ihlallerinden biriydi. Benzer bir dinamik, son zamanlarda meydana gelen 3CX saldırısına katkıda bulundu. Birçok kullanıcı, önceki zamanlarda uç nokta koruma yazılımlarının bilinen ve güvenilir yazılımları yanlışlıkla kötü niyetli olarak işaretlediğini görmüştü. 3CX’in yazılımının ortamında beklenen bir yazılım olduğu için, uç nokta koruma yazılımının yanlış olduğunu düşündüler ve yazılımın tedarik zinciri saldırısının kurbanı olduğunu düşünmediler.
Tükenme
Tükenme, duygusal, zihinsel ve fiziksel bir tükenme durumudur. Güvenlik analistleri ve liderler, uzun saatler, yoğun iş yükleri ve hassas, değerli bilgileri koruma sorumluluğu nedeniyle tükenme yaşarlar. Zamanla, işin yoğun talepleri, güvensizlik ve alaycılığa yol açabilir. Bu, iş performansını ve kişisel refahı olumsuz etkileyebilir ve aynı zamanda potansiyel olarak korkunç hataların olasılığını artırabilir.
Ulusal Sağlık Enstitüleri’ne göre, tükenme, çalışanların zihinsel refahını olumsuz etkileyebilir. Tükenmiş çalışanlar, uyku bozuklukları, baş ağrıları, enfeksiyonlar ve depresyon, intihar düşünceleri, anksiyete ve yaşam memnuniyetsizliği gibi fiziksel ve psikolojik sağlık sorunlarına daha yatkındır. Bu sağlıkla ilgili sonuçların bir sonucu olarak, tükenme genellikle daha uzun süren hastalık nedenli devamsızlıklar ve yüksek dönüş oranları ile ilişkilidir. İşyerinde, tükenme, alaycılık, uzaklaşma ve duygusuzlukla ilişkilidir. Bu, iş memnuniyetini erozyona uğratır ve meslektaşlarla profesyonel bağı koparır. Sürekli artan siber saldırılar, birçok çalışanın (hatta çoğunlukla) ekstra saatler çalışmasını gerektirir. Bir rapora göre, siber güvenlik uzmanlarının %47’si haftada 41 ila 90 saat arasında çalışır. Güvenlik liderliği rollerindeki kişiler ise haftada ortalama 10 saat ekstra çalışır. Elbette, bu tür uzun çalışma saatlerinin tükenme üzerinde tahmin edilebilir bir etkisi vardır.)
Kalite düşüşü ve hatalar
Bir önde gelen CISO, “İnsan hatası, kuruluşlardaki veri ihlallerinin en büyük nedenlerinden biridir ve çalışanların stresli ve tükenmiş olduğu durumda, veri ihlali veya phishing saldırısına maruz kalma riski daha da artar” diye belirtiyor. 2020 yılında yapılan bir araştırma, veri ihlali olaylarının %88’inin insan hatasından kaynaklandığını tespit etti. Katılımcıların neredeyse yarısı (%47) phishing saldırısına maruz kalmalarının temel nedeni olarak dikkatsizliği gösterirken, %44’ü yorgunluk veya stresi suçladı.
Tükenme, çalışanların tutumlarını erozyona uğrattığında risk daha da artar ve işi düşünceden ayırabilir. Girişte alıntı yapılan raporun bulgularına daha derinlemesine bakıldığında, durum daha net anlaşılır:
Önemli ölçüde tükenmiş güvenlik uzmanlarının %48’i, güvenlik kurallarının ve politikalarının “sağlamak için uğraşmaya değmez” olduğunu söylerken, Tükenmiş güvenlik profesyonellerinin %48’i, şirketlerin çalışanların işte kullandığı tüm uygulamaları ve cihazları fark etmesinin ve yönetmesinin gerçekçi olmadığını ifade ediyor. Güvenlik uzmanları, diğer çalışanlara göre iki kat daha fazla olarak tükenme nedeniyle “tamamen ilgisiz” ve “işte sadece minimum düzeyde çalışıyorum” dedi.
Dönüş
Ve şimdi, sektördeki en kötü saklanamayan sır: tükenmiş çalışanlar işten ayrılır (ve gerçekten de yerlerini doldurmak zordur).
2022 Help Net Security raporuna göre, ABD’deki üst düzey karar alıcılar “ortalama olarak %20’lik bir güvenlik personeli dönüşüm oranına” sahiptir ve Mimecast’in küresel bir çalışmasına göre “üçte biri stres ve tükenme nedeniyle iki yıl içinde görevlerinden ayrılmayı düşünmektedir”. Yaptığımız son İngiltere siber güvenlik peyzajı araştırmasında, BT karar alıcılarının yarısından fazlası, önümüzdeki 12 ay içinde güvenlik sektöründen tükenme nedeniyle ayrılabileceğini “muhtemel” veya “çok muhtemel” olarak gördüğünü ifade etti.
Dahası, bu ayrılışlar ciddi bir güvenlik yetenekleri açığı ortamında gerçekleşir. 2022 (ISC)² Siber Güvenlik İş Gücü Çalışması’na göre, şu anda dünya çapında 3.4 milyon güvenlik uzmanı eksikliği bulunmaktadır ve bu, 2021 yılına göre %26’dan fazla bir artışı temsil eder. (Karşılaştırma için, 3.4 milyon yaklaşık olarak Utah’ın nüfusu kadardır.)
Bu, büyük bir sayıdır, özellikle Trellix’in bir çalışmasına göre, organizasyonların %85’i güvenlik personeli eksikliğinin altyapılarını güvence altına alamalarını ve sürdürebilmelerini doğrudan etkilediğini belirtmektedir.
Elbette, eksiklikler, personel alımı ve tutmanın maliyetini artırır ve ayrılan çalışanların (eğer bir yedek bulabilirseniz) yerini almanın maliyeti acımasızca yüksektir. Bir çalışanı yerine koymak için doğrudan maliyetler, yıllık maaşlarının %150-%200’i arasında değişebilir. Notch, bazı durumlarda, personel eksikliği ile mücadele etmek için risk azaltmaya karşı personel maliyeti arasında dengelemeler yapılması gerektiğini belirtir. Bunun yanı sıra, çalışanların moraline, müşteri ilişkilerine ve pazardaki marka itibarına olan etkisi vardır…
Lather, rinse, repeat (tekrarlayan bir döngü)
ROI: Azaltılan risk, artan maliyeti haklı çıkarır mı?
Daha az personel, kalan personel üzerinde artan baskı demektir.Bazı organizasyonlar, personel eksikliklerini telafi etmek için ek araçlar ve otomasyon kullanmaya çalışırlar. Ancak birçok yerde zaten çok fazla araç vardır ve hepsi bir miktar denetim gerektirir. Ek karmaşıklık, bir ortama eklenen her bir aracın tükenme döngüsünü hızlandırabileceği anlamına gelir.
Bir IBM çalışması, 50’den fazla araç kullananların saldırıları algılama yeteneklerini %8 daha düşük olarak değerlendirdiğini ve saldırılara yanıt verme konusunda yaklaşık %7 daha düşük olduğunu ortaya koyuyor. Ayrıca Forbes Teknoloji Konseyi, anketin katılımcılarının %43’ü için en büyük tehdit algılama ve çözümleme zorluğunun “aracın çok fazla olması” olduğunu bildiriyor.
Tükenme döngüsünü kırmak
Yönetilen tehdit tespiti ve tepki (MDR), organizasyonları siber tehditlere karşı korumak için tehdit tespit teknolojilerini, uzman analistleri ve hızlı olay yanıt yeteneklerini birleştirir. MDR, ağları, sistemleri ve uç noktaları gerçek zamanlı ve 24/7 izler, gelişmiş otomasyon ve uzman analiz kullanarak potansiyel güvenlik ihlallerini, kötü niyetli etkinlikleri ve tehdit göstergelerini tespit eder ve bunları engeller.
Alert yorgunluğu, tükenme ve dönüşüm döngüsünden kurtulmak isteyen organizasyonların basit bir görevi vardır: şu anda yaptığınız her şeyi yapmaya devam edin ve aynı zamanda yapmanız gerekenleri de yapın, ancak daha az personelle.
Eğer bu kadar basit gelmiyorsa, FIA Tech’teki Risk ve Bilgi Güvenliği Kıdemli Başkan Yardımcısı Pat Lefler’in hikayesini düşünün. Ekibi, aldığı tüm uyarıları araştıracak kadar yoğundu ve artan gelir elde etmek için inisiyatiflere odaklanmak istiyordu. MDR’nin uygulanması, hızlı izleme, araştırma ve yanıtı sağlayarak, önceden uyarıları süzme için harcanan haftada en az 40 iş saatini kurtardı ve ek araç veya personel eklemeye gerek duymadan alert yorgunluğu etkisini belirgin şekilde azalttı.
Başka bir CISO, günlük binlerce tehdit uyarısını izlemek, kritik olanları belirlemek ve düzeltme yolları üzerinde karar vermek zorunda kalıyordu. Ancak bunu yapmak, ekibi için ürün güvenliğine ve güvenlik altyapısı oluşturma girişimlerine zaman bırakmıyordu.
Siber güvenlik yeteneği açığından endişeleniyordu. “Yetenekli insanları bulduğunuzda,” diye açıklıyor, “onları mutlu tutmanız gerekir. Kimse gün boyunca sadece uyarıları incelemek istemez. İlginç, zorlayıcı ve anlamlı bir iş değildir ve tükenmeye yol açar.”
MDR, döngüyü kırar
MDR’nin faydaları oldukça önemlidir. Makine öğrenimi ve davranış analitiği gibi gelişmiş teknolojiler, geleneksel güvenlik önlemlerinin gözden kaçırabileceği potansiyel güvenlik tehditlerini tespit eder. Olaya proaktif bir yaklaşım sergileyen MDR, otomatik tespit araçlarını insan uzmanlığıyla birleştirerek güvenlik olaylarını hızlı bir şekilde belirler, analiz eder ve buna tepki verir. MDR, ölçeklenebilir ve esnek bir yapıya sahiptir. 24/7 sürekli izleme ve koruma sağlayan MDR, tehdit algılama ve yanıt konusunda uzmanlaşmış güvenlik analistlerini içerir. Bu uzmanlar, güvenlik olaylarını analiz edebilir ve tehditlerin doğasını ve ciddiyetini anlayabilir ve uygun önlem stratejileri konusunda rehberlik sunabilirler.