Bir siber güvenlik uzmanı olmak için gereken ön koşullar, özellikle de yetenekli EDR veya XDR operatörlerini işe alma söz konusu olduğunda aşılması zor bir beceri tavanı yaratıyor. İK süreçlerinde güvenlik çözümleri nasıl bir avantaj sağlar?
İnsan kaynakları uzmanları, yetenekli bir siber güvenlik uzmanı için piyasa fiyatının, bir şirketin böyle bir işe alım için ayırmak isteyeceğinin ötesine geçebileceğini bilirler ancak işe alınan kişinin şirketin giderek karmaşıklaşan güvenlik çözümlerini düzgün bir şekilde yönetecek kadar yetenekli olup olmayacağını, deneme süresinden sonra şirkette kalıp kalmayacağını ve güvenlik ekibinin yüksek iş yükü nedeniyle tükenip tükenmeyeceğini bilmeden aşırı yatırım yapmak zorundadırlar. Bu da onları çıkmazda hissettirir.
Aslında cevap tam da sorunun olduğu yerde! İşe alım ancak kanıtlanmış deneyime sahip yeteneklere yatırım yaparak çözülebilir ya da belki de dış kaynak kullanımı yoluyla. Örneğin, bir güvenlik ortağından yetenekli profesyoneller istihdam etmek.
BT güvenlik uzmanı için iş piyasası, genellikle işveren tarafından değil potansiyel işe alınacak kişi tarafından belirlenir ve bu bir ikilem yaratır. Peki, Bilgi Güvenliği Yöneticileri (CISO’lar), güvenlik yöneticileri veya teknisyenler, artan istihdam maliyetlerini rasyonalize edebilecekler mi, yoksa şirket içi yetenekleri sıfırdan mı inşa etmeleri daha iyi olur?
Örneğin, bir olay müdahale ekibi için işe alım yapılırken siber güvenlik uzmanı adayının günlük olarak kullanacağı başlıca çözümleri temsil eden Uç Nokta Tespit ve Müdahale (EDR) veya Genişletilmiş Tespit ve Müdahale (XDR) ürünleri ve süreçleri konusunda yeterli pratik deneyime sahip olup olmadığı sorusunun sorulması her zaman kaçınılmazdır.
İlgili sorular da aynı derecede önemlidir: Tespitleri ve olayları yeterince iyi önceliklendirebiliyorlar mı? Çok fazla varsayılan kuraldan kaynaklanan yanlış pozitiflere ve “gürültüye” rağmen risk değerlendirme becerileri hedefe uygun mu? İşverenin ağına/ekosistemine uygun özel kurallar yazabiliyorlar mı? Uyarı yorgunluğuyla nasıl başa çıkıyorlar? İşletmenin dikeyini hedef alan saldırganlarla ilgili taktiklere, tekniklere ve prosedürlere (TTP) ne kadar aşinalar?
Bu endişeler mülakattan şirketin gerçek Güvenlik Operasyon Merkezi’ne (SOC) veya yönetici masasına kadar uzanır. Bunlar, güvenliğini ciddiye almak isteyen her işletme için sürekli bir endişe kaynağıdır.
Gerçek şu ki tespit ve müdahale araçlarının bir ağ ve uç noktaları hakkında güçlü bir içgörü seti sağladığı kanıtlanmış olsa da kullanımları zahmetlidir. Açıkçası deneyimli yöneticilerin güvenliğini sağlamak, uygun maliyetli ürünlerden bile daha zordur. Bu nedenle kuruluşlar bir güvenlik yöneticisi veya güvenlik operasyon merkezi personeli işe alırken aynı personelin pahalı tespit ve müdahale araçlarını ve içgörüleri yüksek düzeyde bir tesisle verimli bir şekilde kullanabilmesini sağlamalıdır.
Üst düzey bir güvenlik yöneticisi ile acemi bir yöneticinin olgunlaşarak bir profesyonele dönüşmesi arasındaki beceri farkının kapatılması, tehditleri sınıflandırabilmeleri ve azaltma önceliklerini belirleyebilmeleri için gerekli ek anlayışın sağlanmasıyla gerçekleştirilebilir. Bir ekibi bu konuda en etkili şekilde desteklemek için ağ tespitleriyle ilgili gösterge tablosundaki verileri analiz etme ve yorumlama yükünü azaltmak gerekir.
Yapay zekaya dayalı modern çözümler, son derece şüpheli olan ve “özel” bir muameleyi hak eden tespitleri bağlamsallaştırıp önceliklendirerek genç profesyonellere bu konuda büyük ölçüde yardımcı olabilir. Böyle bir çözüm yalnızca potansiyel tehditleri kaynaklarına kadar takip etmekle kalmaz aynı zamanda daha geniş bir bağlam sunarak sonsuz sayıda bildirim ve yapılandırma arasında eleme yapmak zorunda kalmanın sinir bozucu deneyimini ortadan kaldırır.
Bir gösterge tablosuna başvurarak, bu tür faktörler arasında daha iyi süreç şeffaflığı sayesinde doğru korelasyonları bulabilen güvenlik operatörleri, yerinde deneyim kazanır, güvenleri artar ve sonunda, EDR ve XDR çözümleri içindeki tespitlerin, kuralların, tetikleyicilerin ve benzerlerinin olağan kategorizasyonunun ötesine kolayca bakabilen yetenekli güvenlik savunucuları haline gelirler.
Bununla birlikte süreçlerinde mükemmel görünürlük ve şeffaflık sağlayan, düşük toplam sahip olma maliyeti (TCO) ve beceri olgunlaşmasını destekleyen özelliklere sahip doğru ürünü belirlemek, CISO’lar ve İK personeli de dahil olmak üzere herhangi bir işe alım tarafı için karar vermenin kritik bir parçası haline gelir. Bu önemli niteliklerin çoğu AV-Comparatives veya SE Labs gibi üçüncü taraf analistler tarafından yapılan testlerle derinlemesine incelenmektedir, bu nedenle deneyim oluşturma için doğru araçları bir araya getiren doğru uyumu aramak çok büyük bir engel teşkil etmemelidir. Ancak yine de araştırma için biraz zaman yatırımı gerektirir.
Alternatif olarak bu süre başka çözümler (en başından itibaren personelle birlikte gelen çözümler) aramaya da harcanabilir. Bu, yönetilen bir güvenlik hizmeti sağlayıcısı (MSSP) veya yönetilen tespit ve müdahale (MDR) için bir güvenlik satıcısı ile sözleşme yapmak anlamına gelebilir. Bu kombinasyon, güvenlik profesyonellerinin bilgi birikimiyle birlikte hizmet verdikleri ürünlere ilişkin derin bir kavrayış sunar. Bu da pahalı profesyonellerin işe alınması ya da eğitilmesi ihtiyacını ortadan kaldıran güçlü bir kombinasyon yaratır.
Şirketler hem tespit ve müdahale araçları hem de bunları kullanacak personel edindiklerinde somut bir yatırım getirisi beklerler. Bu nedenle güvenlik yöneticilerinin, tehdit avcılarının ve genel olarak güvenlik operasyon merkezi (SOC) ekiplerinin ihtiyaç duyduğu analitik yeteneklerde önemli geliştirmeler sağlayan özellikler, olumlu bir yatırım getirisi sağlamak için kritik öneme sahiptir. Sonuçta personel, uzmanlıklarını daha kolay uygulayabilirse olayları etkili bir şekilde analiz etme ve önce önleme yaklaşımı için koruma kararlarını doğru bir şekilde önceliklendirme konusundaki kanıtlanmış yeteneklerine bir kuruluşun güvenini sağlayabilir.
Sonuç olarak güvenlik mühendisleri için temel hedef, kuruluşlarının sistemlerini tanımak ve korumayı buna göre önceliklendirmektir. Bu, her zaman yürürlükte olması gereken temel güvenlik uygulamalarına ektir. Tespit ve müdahaleden yararlanmak, kuruluşunuzun güvenlik duruşunu olgunlaştırabilmesi için ortamınız hakkında derinlemesine bilgi edinmekle ilgilidir.
Bunu yapmak için, bir şirketin kendi yeteneklerinden başka bir yere bakmasına gerek yoktur çünkü kendi içinde gizli bir güvenlik potansiyeli vardır. Ancak o zaman bile, kurum içi yetenek gelişiminin yavaş olması durumunda, MDR gibi alternatif çözümler en zorlu güvenlik operasyonlarını bile tatmin edebilir.