Net güvenlik görüşmesinin bu yardımında, OpenText’teki tehdit tespit ve yanıt direktörü Tim Bramble, SOC ekiplerinin tehditleri tespit etmede ve önceliklendirmede AI’dan nasıl değer kazandıklarını tartışıyor. AI, kullanıcılar ve sistemler arasında “normal” nin neye benzediğini öğrenerek, kurallara dayalı yöntemlerin genellikle kaçırdığı anomalileri yüzeye yardımcı olur.
Bramble, en büyük değerin insan-ai işbirliğinden geldiğini açıklar ve otomasyon, eylem için gerekli yargıyı ve bağlamı uygulayarak içgörü ve analistler sağlar.
SOC’ler AI’dan en acil ve somut değeri tam olarak nerede görüyorlar? AI’nın anlamlı bir şekilde geliştirildiği tespit veya yanıtın gerçek dünya örneğini paylaşabilir misiniz?
SoC’ler her gün milyarlarca etkinliğe gömülür ve eğer sadece belirli, bilinen imzalar ararlarsa, bilinmeyen tehditleri kaçırırlar. Saldırganlar genellikle “normal” görünen şeylerin sınırları içinde çalışırlar, geçerli kimlik bilgileri, tanıdık iş akışları ve karışan yanal hareket kullanarak. AI’nın anında değer sağladığı yerdir: geleneksel kurallar uyanık olmasa bile, bir şeyin yanlış olabileceğini gösteren ince sapmaların tespit edilmesi.
Bu şekilde uygulandığında, AI sadece bilinen tehditleri taramakla kalmaz; Her kullanıcı, sistem veya iş yükü için normal olanı öğrenmek ve kurmak ve bu taban çizgisinden anlamlı sapmaları işaretlemektir. Örneğin, tipik olarak birkaç belgeye erişen bir kullanıcı aniden büyük miktarlarda hassas içerik indirmeye başlarsa veya daha önce hiç etkileşime girmedikleri araçları kullanmaya başlarsa, AI bilinen göstergelerin yokluğunda bile bu etkinliği anormal olarak işaretleyebilir.
SOC ekipleri için getiri hız, netlik ve ölçektir. Analistler, düşük kesinlik uyarıları ile taramak veya sabit kurallara güvenmek yerine, normdan gerçekten neyin saptığına bağlı olarak yüksek riskli davranış hakkında öncelikli bir bakış atıyorlar. Bu yaklaşım özellikle yalın takımlar için değerlidir, daha hızlı olanları daha hızlı ortaya çıkarır, böylece insanlar niyet doğrulamaya ve harekete geçmeye odaklanabilir.
Hangi SOC işlevleri AI için en uygundur? Örneğin, uyarı triyajı, anomali tespiti, tehdit avı veya olay yanıtı? AI’nın geleneksel yöntemlere veya insan analistlerine kıyasla sürekli olarak düşük performans gösterdiği herhangi bir kullanım vakası var mı?
AI, ölçek, hız ve gürültünün insanları bunaladığı alanlarda en güçlüdür. Anomali tespiti en iyi örnektir: kullanıcılar, sistemler ve iş akışları arasında normal davranışların nasıl göründüğünü sürekli olarak öğrenerek, AI kuralların veya imzaların kaçırabileceği ince sapmaları ortaya çıkarabilir. Bu anlayışları risk puanlama ve davranışsal ve ikili sinyallerin korelasyonu ile birleştirmek, tehdit avı ve uyarı triyajı yönlerini otomatikleştirerek analistlere daha yüksek kaliteli tehdit konuları sunar. Bu, yanlış pozitifleri azaltabilir, bunun yerine analistlerin daha derin, daha yüksek değerli araştırmalara odaklanmasını serbest bırakabilir.
AI düşük performanslarının tipik olarak nasıl uygulandığına bağlıdır. Örneğin, kötü niyetli olduğu ancak yeni tehditleri tespit edemeyen etkinlikleri sınıflandırmada etiketli veri excel üzerinde eğitilmiş denetimli makine öğrenme modelleri. Bu bağlamda, yeni davranışlardan sürekli olarak öğrenen denetimsiz makine öğrenme modelleri, yeni durumlara uyum sağlamak ve içeriden gelenler gibi gelişmiş yeni tehditler bulmak için daha uygundur. Sistem, “normal” olduğunu anlayışını sürekli olarak güncellemediği sürece, geçerli kimlik bilgilerine sahip bir insan düşmanı meşru görünebilir.
Bu yüzden sürekli olarak değerlendirilmiş, kendi kendine öğrenen modeller çok önemlidir. Davranışlar sürekli değişse bile yararlı AI çıkışları sağlarlar. Aynı zamanda, özellikle niyet söz konusu olduğunda, SOC’de insan yargısı hala gereklidir. Yapay zeka bir durumun “ne” ve “ne zaman” olduğunu vurgulayabilirken, insanların faaliyetin kötü niyetli mi yoksa meşru olup olmadığını belirlemek için hala “neden” e cevap vermeleri gerekir.
SOC ekipleri, AI güdümlü savunmalardan kaçınmak için modelleri zehirleyen veya rakip girdileri kullanmakla ilgili ne kadar endişeli olmalı? Henüz bunun gerçek dünya örnekleriyle karşılaştınız mı?
Model zehirlenmesi ve düşmanca girdiler risktir. Verilere dayanan herhangi bir sistem manipüle edilebilir. Saldırganlar zaten SIEM eşiklerini manipüle edebileceklerini veya sistemlere sızmak için spam filtrelerini tren edebileceklerini gösterdiler ve AI araçlarının bir sonraki olmasını bekleyebiliriz.
Doğru yaklaşım, yapay zekayı çok katmanlı bir savunmanın sadece bir parçası olarak dahil etmektir. AI, SOC’de dönüştürücü yeteneklere sahiptir, ancak yanılmaz olarak değerlendirilmemelidir. Örneğin, içeriği karantinaya almak veya bir kullanıcı hesabını askıya almak gibi yüksek bahisli işlemler yine de insan gözetimini içermelidir. Herhangi bir kontrolde olduğu gibi, aşırı güven en büyük güvenlik açığıdır; Amaç, AI’nın hızı ve desen tespitini insan karar verme ve bağlamla birleştirmektir.
AI ajanları tehditleri tespit etmek ve iyileştirme vaat eder. Ajanik AI yaklaşımları, tamamen otonom olarak çalışmasına izin verilmesi gereken güveni tespit ederken insan gözetimi gerekecektir.
Uygulamada, insan analistleri ve AI arasındaki ilişkiyi SOC’de geliştiğini nasıl görüyorsunuz? Yapay zeka ne kadar gelişmiş olursa olsun, insanların hala döngüde kalması gereken belirli görevler var mı?
Analistler ve yapay zeka arasındaki ilişki daha az değiştirmeye, daha çok büyütmeye odaklanmaktadır. Bugün tehdit aktörleri genellikle kasıtlıdır, yavaş ve sabırla, bazen haftalar veya aylar boyunca hareket ederler ve varlıklarının sadece hafif izlerini bırakırlar. AI, bu sinyalleri yanıt verecek kadar erken yakalamak için gereklidir.
Yine de, AI’nin çoğaltamayacağı bağlam getirdikleri için insanlar her zaman güvenlik operasyonlarının merkezinde kalacaklar. İş önceliklerini, risk toleransını ve bir olayın daha geniş etkisini anlıyorlar. Başka bir deyişle, insan yaratıcılığı, yapay zeka araçları tarafından giderek daha fazla yardımcı olan öngörülebilir gelecek için tehdit kampanyalarının merkezinde olacak. Bu tehditleri tespit etmek için insan-makine ortaklıklarının sürdürülmesi şarttır.
En iyi sonuçlar, AI gürültüyü azalttığında sonuçlanır. Analistleri milyarlarca olayı gözden geçirmeye zorlamak yerine, AI en riskli davranışların ve neden işaretlendiklerinin açıklamalarının öncelikli bir listesini sağlayabilir. Bu, insanlara sadece triyaja değil, soruşturmalara, yanıt ve stratejiye odaklanma alanı verir.
AI yatırımlarını göz önünde bulunduran SOC ekipleri için, başarılı dağıtım ve ölçülebilir sonuçları sağlamak için hangi pratik adımları atmalılar?
En büyük yanlış anlama, AI’nın herhangi bir ortama bırakılabilmesi ve anında sonuçlar verebilmesidir. Davranışsal analitik için, örnek olarak, başarılı bir şekilde konuşlandırma gerektirir: AI sistemlerinin ne olduğunu güvenilir bir şekilde algılayabilmesi için kuruluşunuzda normal davranışın nasıl göründüğünü anlamak anormal. Bu taban çizgisi olmadan sonuçlar yetersiz kalacaktır. LLM’ler, her derde deva olmaktan ziyade, etkinliği özetlemek, bağlamda yerleştirmek ve öneriler sunmak için özel bir değer sunar. Genel olarak uygulanan LLM’ler sorgulanabilir bir değer sağlar ve hatta sonuçları bile belirleyebilir.
Yapay zekayı dahil etmek için pratik bir yaklaşım küçük ve hedeflenir. Güvenlik ekipleri, her yerde AI uygulamak yerine, en çok endişe tehditleriyle ilgili kimlik ve erişim verileri gibi yüksek sinyal alanlarıyla başlamalıdır. Oradan, ek telemetri kaynaklarına genişlemek ve makineyi öğrenmeyi birden fazla boyutta katmanlamak daha kolay hale gelebilir.
Tıpkı önemli bir ölçüm stratejisi oluşturmaktır. Takımların, yanlış pozitifleri belirli bir yüzdeye azaltmak veya tanımlanmış bir aralıkla tespit etmek için ortalama süreyi azaltmak gibi hedefler belirlemeleri gerekir. Bu kriterler, AI yatırımlarının performans metriklerinden analist verimliliğine ve SOC verimliliğine kadar önemli sonuçlara bağlı olmasını sağlar.
Son olarak, mevcut ekiplere sorunsuz bir şekilde uyduğunda uygulama başarılıdır. AI, sürtünme eklemek değil, analist iş akışına karışmalıdır. İster genç analistlerin uyarılara öncelik vermelerine yardımcı olsun, ister triyaj sırasında daha hızlı elden çıkarmalar sağlıyor olsun, başarılı dağıtımlar AI’yi analist işini değiştirmek yerine basitleştiren bir kuvvet çarpanı olarak ele alır.