Bugün çoğu kuruluş şeylerin temelleriyle mücadele ediyor. Ağlarında kaç uç noktaya sahip olduklarını bilmiyorlar. Antivirüs takılıp takılmadığını bilmiyorlar. Basit bir uyarı alırlarsa, nedenini veya nerede araştırmaya başlayacaklarını bilmiyorlar.
Şirketlerin temellerle mücadelelerinin büyük çoğunluğu yetenek kullanılabilirliğinden kaynaklanmaktadır. Örneğin, 500 çalışandan oluşan bir şirket belirli bir güvenlik ürününe 10 kişiyi koymayı göze alamaz. Ancak siber güvenlik için AI ajanları, insanları artırabilen sanal çalışanlar gibi davranabilir.
Bu cesur iddiaya daha fazla dalmadan önce, AI ajanlarının bir süredir duyduğumuz Genai ve Chatgpt’ten farklı olduğunu anlamak önemlidir.
Tüm Büyük Dil Modeli (LLM) fenomenleri ChatGPT ile başladı. İnsanlar AI ajanları hakkında konuştuğunda veya LLM’leri kullanmayı düşündüklerinde, her zaman ChatGPT kullanım durumu hakkında düşünürler. Chatgpt, birisinin temelde bir sohbet botuyla konuştuğu çok özel bir kullanım durumudur. AI ajanlarının vaadi, yazılımın LLMS tarafından desteklendiği ve bu yazılımın her zaman ne yapılması gerektiğini anlamaya çalıştığı, sizin için otomatik olarak bir şeyler yapan yazılıma sahip. Bir şey yapmasını söylemeden bile, bunu yapar. Bu, kullanıcıların inisiyatif aldığı ve soruları sordukları sohbet botlarının erken kullanım durumlarından çok farklıdır.
AI ajanlarının nasıl çalıştığını açıklayayım. Örnek olarak, bir Güvenlik Operasyon Merkezi analisti, bir çalışan hakkında daha önce hiç bulunmadıkları yeni bir yerden giriş yapan bir uyarma uyarısı alır. Analist Google’a yeni bir konumdan uyarı ve çalışan girişini sorarsa, Google bir kılavuz olarak hizmet edebilecek bazı bilgiler ve öneriler sunacaktır. Ancak bu sorunu daha da tetiklemek için analist, o çalışanın geçmişte oturum açtığı yerden tüm konum bilgilerini almak isteyecektir. Analist, Active Directory veya OKTA’dan bilgi çeken bir sorgu oluşturmak isteyebilir. Bu verileri ilişkilendirdikten sonra, daha fazla bilgiye ihtiyaç duyulduğuna karar verebilirler. AI ajanları çok benzer bir şey yapar ve çok çeşitli güvenlik bilgisi girdilerine bakın. Bu akıl yürütmeye sahipler ve bu tür bir uyarı için belirli bilgilere ihtiyaç duyulduğunu ve bu bilgilerin nasıl alınacağını öğrenecekler. Çeşitli güvenlik sistemlerinde birkaç sorgu çalıştırmaları gerekebilir ve bir rapordaki tüm bilgileri ilişkilendirebilirler. Bu sadece bir örnektir ve gerçek şu ki binlerce farklı uyarı ve yüzlerce farklı güvenlik aracı var. AI ajanları bugün her şeyi yapamazken, fikir şu ki, SOC ekibi için iş miktarını azaltmak için güvenilir bir şekilde yapabilecekleri basit görevler var.
Aslında, yapay zeka ajanları genellikle bazı süreçleri daralan insanlardan daha etkilidir. Örneğin, belirli bir IP adresi hakkında bir uyarı varsa, bu IP adresi hakkında bilgi gereklidir. İnsanların iç ve dış kaynaklardan farklı bilgi türleri çekmeleri gerekecektir. Bu zaman ve çaba gerektirir ve bunu sürekli yapmaları gerekir. Ve toplanan tüm bu veriler gerçekten yardımcı olmaz çünkü bir SOC analisti sadece ilgili bilgilere bakmak istiyor ve neyin önemli olduğunu ve neyin olmadığını belirlemek için zaman harcamıyor. Bu, AI ajanlarının bağlama dayalı olarak, ne yaptığınıza ve uyarı üzerine doğru bilgilerle otomatik zenginleştirme sağlayabileceği çok basit bir kullanım durumudur.
Bununla birlikte, kuruluşların düşündükleri AI ajanlarının ve genai’nin güvenliğini anlamaları gerekir. AI ajanları binlerce hasara neden olabilir, Devops’a her saat 100 satır kod oluşturma ve üretimde konuşlandırılmadan önce kod test etmek için deneme ortamı yoktur. AI ile çok sık karşılaşılan bir problem halüsinasyonlardır ve bunların tespit edilmesi zor olabilir çünkü ince ve gizlidirler. Örneğin, ortak AI ajan kullanım durumlarından biri, yapılandırılmamış verilerden uzlaşma göstergelerini (IOCS) çıkarmaya çalışmaktır. LLM’lerin eğitilme şekli nedeniyle, çok güvenle yanıt verirler ve bilgi olmasa bile bir cevap verirler. Dolayısıyla doğru yaklaşım, bir LLM’den bir tuz tanesi ile herhangi bir cevap almak ve bunu müjde olarak değil, çözünürlüğe doğru bir aday olarak kullanmaktır. Ve sonra, bu cevabın doğru olup olmadığını anlamak için kendi deterministik mantığınızı çalıştırabilirsiniz. Kuruluşların LLM çıktılarının doğru olup olmadığını doğrulayabilen çözümlere bakması çok önemlidir.
AI ajanları ve siber güvenlik ile ilgili olarak, bugün iki gelişme ekseni var. Birincisi, AI ajanlarını çok daha güçlü ve kullanışlı hale getirmek için uzun bir yolumuz var. Birkaç yıl içinde AI ajanları ile uyarılarınızın yüzde 100’ünü triaşamamanız için hiçbir neden yoktur. Fizikte yolda kalan bir yasa yok, bu sadece bir mühendislik meselesi. Tabii ki, çok fazla gelişme gerektirecektir, ancak yapılabilir. Daha etkili olabilmek için, AI ajanlarının zamanla daha fazla muhakemeye ve daha fazla alan bilgisine ihtiyacı vardır. Gelişimin ikinci ekseni AI ajanlarını daha güvenilir hale getirmektir. Bugün AI ajanları bazı siber tehdit istihbarat (CTI) kaynaklarından IOC’leri çıkarabilir. Ancak onları olduğu gibi kullanmak etkisiz olduğunu kanıtlıyor çünkü bazen çalışacaklar ve bazen olmayacaklar. Güvenilirlik, güven ve kontrol, LLM’lerin doğal gücüne yöneliktir. Bir benzetme olarak, tüm çalışanların eşit derecede yetkin olmadığını düşünün. Bazıları çok yetkin ve güçlü, diğerleri kariyerlerine yeni başlıyor. Ancak en yetkin çalışanlarınızla bile, onlara her zaman güvenemezsiniz. Bazıları bilgili ancak güvenilmez olabilir – güvenilirlik ve güven yeterliliğe karşı diktir. Ve bu AI ajanları için de aynı.
Ve güvenilmez insanlarla nasıl başa çıkacağız? Onları atmıyoruz, etraflarına koruyucu raylar koyduk. Birisi çok düzensizse, ancak işlerini yaptıklarında çok yüksek kalitededir, onları kritik projelere koymazsınız. Onlara çok fazla tampon veriyorsunuz. Öte yandan, birisi son derece güvenilirse ancak çalışmaları sadece ortalama veya her zaman incelemeye ihtiyaç duyuyorsa, buna göre planlamanız gerekir. LLM’ler aynı şekilde ve iyi olan şey, hepsi yazılım. Böylece işini alabilirsiniz ve başka bir AI ajanı işini doğrulayabilir ve eğer iyi değilse onu atabilirsiniz. Kuruluşlar, LLM’lerin çıktılarını değerlendirmek ve yararlı olduğunda kullanıldığından emin olmak için çerçevelere sahip olmalı ve bunları hasar verebilecekleri yerde kullanmazsınız.
Bununla birlikte, AI araçlarının demokratikleşmesi, saldırganlar için giriş engelini düşürebilir ve bu da potansiyel olarak sofistike saldırılarda bir artışa yol açabilir. Bu senaryo, savunucuların savunmalarını agresif bir şekilde otomatikleştirmeleri ve gelişen tehditlerin önünde kalmak için aciliyetin altını çiziyor.
AI ajanlarının nihayet savunucuların saldırganların önüne geçmesine izin verip vermeyeceğini henüz görmedik, çünkü rakipler boşta oturmuyor. Bugün AI kullanarak saldırıları otomatikleştiriyorlar ve daha da kötüleşecek. Temel olarak, şimdiden daha hızlı savunmalar için AI kullanımını hızlandırmalıyız. Soru şu ki, AI çok güçlü olmaya devam ederse, o zaman kim kazanır? Savunucuların kazanması için deterministik bir yol görebiliyorum çünkü her iki tarafta da zeka mevcutsa, savunucuların her zaman daha fazla bağlamı olacaktır. Örneğin, ağıma girmeye çalışıyorsanız ve 100 uç noktası varsa ve hangi uç noktanın savunmasız olduğunu bilmiyorsanız, kaba bir kuvvet saldırısı yaparak öğrenmeniz gerekecektir. Ama bir savunmacı olarak bu bağlamı ağıma sahibim. Yani her şey eşit, her zaman bir adım önde olacağım.
Bununla birlikte, bu gelecek sürekli inovasyon, işbirliği ve AI’yi güvenlik çerçevelerine entegre etmek için stratejik bir yaklaşım üzerine bağlıdır. Şimdi kuruluşların stratejilerini sıraya koyma zamanı ve savunucuların birlikte çalışması ve işbirliği yapmaları. Kaybedilecek bir an yok, çünkü AI otomatik saldırı tsunami yaratacak ve bir insan olarak, saldırganınıza bir kuruşa mal olan bir saldırıya yanıt vermek için 100 dolar harcıyorsanız, iflas edeceksiniz. Bir endüstri olarak savunmamızı otomatikleştirmeliyiz ve AI ajanları harika bir başlangıç sağlar.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!