NetMoniai adlı yeni bir araştırma projesi, AI ajanlarının ağ izleme ve güvenliği nasıl yeniden şekillendirebileceğini göstermektedir. Texas Tech Üniversitesi’nde bir ekip tarafından geliştirilen çerçeve, iki fikri bir araya getiriyor: kenarda dağıtılmış izleme ve merkezde AI güdümlü analiz.
Çalışma hala araştırma aşaması, ancak CISOS’a ajanik AI sistemleri kurumsal ortamlara girerse neyin mümkün olabileceğine dair bir his veriyor. Proje açık kaynak, bu yüzden topluluğun test edebileceği ve geliştirebileceği bir şey.
Merkezi Kontrolör Mimarisi
Tespit ve korelasyon için katmanlı bir tasarım
Sistem iki katın etrafında inşa edilmiştir. Düğüm düzeyinde, hafif ajanlar tek tek makinelere oturur ve yerel ağ trafiğini izler. Bu ajanlar anomaliler arar ve bulguları geçer. Olayları sınıflandırmaya ve insan okunabilir özetleri oluşturmak için dil modellerini kullanabilirler.
Bunun üzerine merkezi bir kontrolör oturur. Temsilci raporlarını toplar ve ağı geçen kalıpları arar. Bir düğüm garip bir şey fark ederse, denetleyici diğer düğümlerin benzer işaretler görüp görmediğini kontrol edebilir. Fikir, yerel ajanların bağımsız hareket etmesine izin verirken, çevre genelinde neler olduğuna dair bir resim vermektir.
İlk sonuçlar hız ve ölçeklenebilirlik gösterir
Ekip çerçeveyi iki şekilde test etti. İlk olarak, ağ koşullarının bozulabileceği küçük bir fiziksel test yatağı üzerinde çalıştılar. Bu ortamda, sistem anormallikleri tespit edebildi ve trafiği yaklaşık beş saniye içinde sınıflandırabildi. İkincisi, hizmet reddi ve keşif saldırılarına sahip senaryolar da dahil olmak üzere 50 düğüme sahip simülasyonlar yaptılar. Bu testlerde, yerel ajanlar olağandışı trafiği tespit etti ve kontrolör koordineli tehditleri doğrulamak için bu gözlemleri birbirine bağladı.
CISOS için ana nokta, tasarımın büyük gecikmeler getirmeden hem küçük ölçekli hem de daha büyük senaryoları ele almasıdır. Ayrıca, sistemin ne gördüğünü açıklayabilecek bir gösterge paneli ve sohbet botu aracılığıyla yorumlanabilirlik sundu.
Hibrit izleme neden SOC operasyonlarını değiştirebilir?
Ağ izleme uzun zamandır bir değiş tokuşla karşı karşıya kaldı. Paket seviyesi denetimi detay sunar, ancak ölçeklendirilmesi zordur. Akış bazlı izleme ölçekleri daha iyi ancak hızlı hareket eden tehditleri kaçırabilir. Çoğu kuruluş hala adapte olmak ve genellikle yanlış pozitifler üretmek için mücadele eden merkezi günlük analizine ve kural setlerine bağlıdır. Netmoniai, bu yaklaşımların güçlü yönlerini daha fazla özerklikle birleştirme girişimidir.
Bu tür sistemler daha da gelişirse, yedek uyarıları keserek ve sessiz izleme ile yakalanması zor olan dağıtılmış saldırıları ortaya çıkararak SOC ekiplerine yardımcı olabilirler. Ayrıca, CISOS’un diğer yöneticilere brifing yapması gerektiğinde önemli olan neler olduğuna dair daha doğal açıklamalar da sunabilirler.
Watchguard’daki Ciso Corey Nachreiner, hibrit izlemenin uygulamada bir etkisi olabileceğini söyledi. “Birçok gerçek dünya saldırısı çok yerel olarak başlar, bir sunucuyu veya iş istasyonunu etkilemektedir, ancak daha sonra daha geniş kurumsal ağları etkilemek için genişler. AI tabanlı, hibrid bir sistem, ilk kurban sistemine erken anormallikleri tespit etmekte iyi olacaktır. Merkezi ajan daha sonra taramalardan ek anormallikleri koruyabilir, savunuculara saldırı zincirini kırmak için çoklu şanslar vererek”.
Laboratuardan işletmeye taşınmada zorluklar
Araştırma umut verici, ancak sınırlar var. Çerçeve, trafik hacimlerinin, politika kısıtlamalarının ve düzenleyici gereksinimlerin işleri daha karmaşık hale getirdiği üretim ölçeği kurumsal ağlarında test edilmemiştir. Büyük dil modellerine güvenmek maliyet, gecikme ve doğruluk hakkında sorular sunar. Ayrıca, AI ajanları vermek için ne kadar özerklik güvenlik ekiplerinin rahat olduklarına dair daha geniş bir endişe var.
Araştırmanın ortak yazarı Pallavi Zambare bu zorlukları kabul etti. “Netmoniai’yi laboratuvar testlerinden ve simülasyonlardan gerçek kurumsal ağlara taşımak birkaç engelle birlikte gelir. Ölçeklenebilirlik, mevcut SOC araçlarıyla entegrasyon, güven ve açıklanabilirlik ve düzenleyici uyumluluk geniş dağıtımdan önce ele alınmalıdır. Fayda olabilecek ilk kuruluşlar, dağıtılmış altyapılara sahip olanlardır, ancak orta ölçekli işletme veya yönetilen hizmet sağlayıcıları gibi sınırlı personeldir” dedi.
Zambare ayrıca sistemin insan karar vermesinin yerini alacak şekilde tasarlanmadığını vurguladı. “Analistler nihai otoriteyi korurken, çerçeve bağlamı ve korelasyonu hızlandıran yapılandırılmış raporlar, özetler ve politika önerileri sağlar. Bu döngüdeki insan yaklaşımı AI ölçeğini hesap verebilirlik ile dengeler.”
Ajanik AI benimseme vaadi ve riski
Nachreiner dikkatin gerekli olduğunu kabul etti. “Denkleme ajan yapay zeka eklemek, SOC hızını yanıtlama hızını artıracaktır, ancak aynı zamanda API’ler ve konektörler gibi yeni altyapının potansiyel saldırı yüzeyleri haline gelmesi anlamına gelir. Kuruluşlar en azından konsept projelerinin kanıtı için hızlı bir şekilde benimsemelidir, ancak AI ajanlarının ayrıcalıklı sistemlere nasıl bağlandığına ve destekleyici teknolojideki güvenlik açıklarını nasıl izlemelerine dikkat etmelidir.”