SIEM Ürünleri Araştırma Anketi Sonuçları

Ülkemizde kullanılan SIEM çözümleri ile ilgili bir anket çalışması gerçekleştirerek kurum tarafında kullanılan SIEM ürünlerinin başarıları ve beklentiler ile ilgili düşünceleri siz değerli okuyucularımız ile paylaşıyoruz.

Elde ettiğimiz sonuçları paylaşarak ülkemizde kullanılan SIEM ürünlerinin durumları hakkında bilgi vermeyi amaçlamakta olduğumuz anket çalışması, SIEM çözümleri konusunda katılımın yüksek olduğu ilk araştırmalardan biri olma niteliği taşımaktadır.

“Türkiye SIEM Çözümleri Anketi” kurumların ve bu ürünleri kullanan uzmanların karşı karşıya kaldığı sorunları ve beklentilerini ortaya koymaktadır.

BGA Security olarak NetSec Ağ ve Bilgi Güvenliği Topluluğu üyeleri, kullanıcılarımız ve okuyucularımız arasında iki yüze yakın çalışanının katıldığı “Türkiye SIEM Çözümleri Anketi” çalışmasının sonuçları aşağıdaki gibi şekillenmiştir.

Araştırmada ilk olarak katılımcılarımıza “Log yönetimi amacıyla hangi SIEM çözümünü veya ürününü kullanıyorsunuz?” sorusu yöneltildi.

Bu soruya verilen cevaplarda %22 oranla “IBM Qradar” ürünü ön plana çıkmıştır. İkinci sırada %16 oranla “Logsign” ve üçüncü sırada %15,3 oranla “HP Arcsight” ürünü kullanıldığını görmekteyiz.  Bu sorunun cevaplarına baktığımız zaman ülkemizde en çok kullanılan SIEM ürününün açık ara farkla IBM Qradar olduğunu tespit etmekteyiz.

Anketimizin ikinci sorusunda katılımcılarımıza Kullandığınız üründen genel olarak memnun musunuz?” sorusu yöneltildi.

Bu soruya verilen cevaplarda kullanılan SIEM ürünleri için %78 oranla memnun kalındığını %22 oranda ise memnuniyetsizlik olduğunu gözlemliyoruz. 

Üçüncü soruda katılımcılarımıza “Bir SIEM çözümünden beklentileriniz nelerdir?” sorusu yöneltilerek, SIEM ürünlerinden beklenilen özelliklerin ve isteklerin ne olduğu ortaya çıkartılmak istenmiştir.

Bu sorumuza verilen cevaplarda “Logların toplanması ve merkezi yönetimi” %85 oranla ön plana çıkmaktadır. İkinci sırada %81 oranla “Siber olay tespiti”, üçüncü sırada “Güçlü raporlama” ve dördüncü sırada “Potansiyel siber saldırı bildirimi” şeklinde cevaplar sıralanmaktadır. Bu soruya göre SIEM ürünlerinin kullanım amacının merkezi log yönetimi olduğu dikkatimizi çekmekte ve SIEM ürünlerinden beklentinin merkezi log yönetimin yanı sıra siber saldırılara karşı tespit ve güçlü bir raporlamaya sahip olması gerektiğini görüyoruz.

Araştırmamızın dördüncü bölümünde “Bir siber saldırı girişimini SIEM çözümünüz üzerinden gelen alarmlar sayesinde erkenden tespit edebilir misiniz?” sorusu katılımcılarımıza yöneltildi. 

Anketimizin dördüncü sorusuna verilen cevaplarda %78 oranla “Evet”  ve %22 oran ile “Hayır” cevabı alınmıştır. Bu soruya göre ülkemizde kullanılan SIEM ürünlerinin başarılı bir iş çıkardığını ve görevlerini büyük bir oranda yerine getirdiklerini görebiliyoruz.

Anketimizin beşinci sorusunda “Kullandığınız SIEM çözümü üzerinde yer alan ön tanımlı kuralları (alarmları) yeterli buluyor musunuz?” sorusu katılımcılarımıza yöneltilerek ön tanımlı alarmlar konusundaki eksiklik ve yeterlilik ölçülmek istenmiştir.

Bu soruya verilen cevaplarda %44,4 oranla “Evet genel olarak ihtiyacımızı karşılıyor.” cevabı ön plana çıkmaktadır. Bir önceki sorumuzda %78 oranla SIEM ürünlerinden memnun kalmamıza rağmen ihtiyaçları tam olarak karşılama noktasında kullanıcıları tatmin edemediğini görmekteyiz. İkinci sırada % 25,2 oranla “Hayır, genelde hatalı alarmlar (false positive) üretiyor.” cevabı ile de bu görüşü destekleyebiliriz.  Üçüncü sırada ise %15,6 oranla “Bir çoğu hatalı (false positive) olsa da doğru alarmlar üretiyor.” cevabı dikkatimizi çekerek bir önceki sorudaki memnuniyetin neden bu denli yüksek olduğunu ortaya koymaktadır. 

Bu noktada ülkemizde kullanılan SIEM ürünlerinden her ne kadar memnun kalınsa da, üretilen alarmlar noktasında kendilerini geliştirmeleri gerektiğinin altını rahatlıkla çizebiliriz.

Araştırma anketimizin son sorusunda katılımcılarımıza “Kullandığınız SIEM çözümü üzerinde kurumunuza özel kural/korelasyon(lar) hazırladınız mı?” sorusu yöneltildi.

Bu soruya verilen cevaplar arasında %68,90 oranla “Evet kuruma özgü kurallarımız bulunmaktadır.” seçeneği ön plana çıkmaktadır. Bu cevap ile önceki sorumuzun cevaplarını kıyasladığımız zaman her ne kadar ön tanımlı kurallar yeterli gelse de, kuruma özgü kurallar tanımlanması gerekliliği dikkatimizi çekmektedir. İkinci sırada %14,1 oranla “Hayır, sadece varsayılan (default) kuralları kullanıyoruz.” cevabı ve üçüncü sırada %10,4 oranla “Evet fakat etkinliği konusunda şüphelerimiz var.” cevabı verilmiştir.

Sonuç olarak ülkemizde kullanılan SIEM ürünlerinden geneli itibari ile memnun kalındığı söylenilmesine rağmen, ihtiyaçları karşılama konusunda üretilen alarmlar ve default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır.

Anket sonuçları SIEM ürünlerinin default kuralları ile kullanılması maalesef ki bu noktada birçok güvenlik uzmanının ihtiyaçlarını net olarak belirleyemediği ve bir ikilem arasında kalındığını ortaya çıkarıyor. Özellikle de güçlü bir raporlama desteği, anlamlı çıktılar üretmesi ülkemiz SIEM ürünleri için en önemli seçim kriterleri arasında gelmektedir. Diğer bir yandan bu ürünlerin desteği ve eğitimi konusunda da kuruma özgü çözümler geliştirilerek daha verimli kullanılabileceğini rahatlıkla söyleyebiliriz.

Anketimize katılan ve paylaşımları ile destek olan tüm arkadaşlarımıza ve takipçilerimize teşekkürlerimizi sunarız.

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.