Eindhoven Teknoloji Üniversitesi’nden bir grup araştırmacı, dünya çapındaki Güvenlik Operasyon Merkezlerinin (SOC’ler) verimliliğini önemli ölçüde artırabilecek yeni bir bulguyu açıkladı.
Bu yılın sonlarında Hanoi’de düzenlenecek ACM Asya Bilgisayar ve İletişim Güvenliği Konferansı’nda (ASIA CCS ’25) sunulacak olan çalışma, Suricata gibi Ağ Saldırı Tespit Sistemleri (NIDS) için düşük gürültülü algılama kurallarının tasarlanmasına odaklanıyor.
Kuruluşları siber tehditlere karşı koruyan SOC’ler genellikle mümkün olduğu kadar çok sayıda potansiyel tehdidi tespit etmek (kapsam) ile yanlış alarmları en aza indirmek (özgüllük) arasında bir denge kurmakta zorlanır.
Gürültülü uyarıların yoğunluğu çoğu zaman analistleri bunaltıyor ve gerçek tehditlere odaklanma becerilerini engelliyor.
çalışma Yeni içgörüleri ve eyleme dönüştürülebilir çözümleri ortaya çıkarmak için ticari bir SOC’de 11 ay boyunca oluşturulan 290.000 benzersiz kuralı ve 30 milyon uyarıyı sistematik olarak analiz etti.
Bu Araştırmadaki Temel Bulgular:
- Azaltılmış Gürültü için Tasarım İlkeleri: Araştırmacılar daha etkili tespit kuralları oluşturmak için altı temel ilke belirlediler. Bunlar arasında atomik Tehlike Göstergelerinden (IoC’ler) faydalanmak, uyarı azaltmayı kullanmak, başarılı ve başarısız saldırılar arasında ayrım yapmak ve aşırı gürültüye yol açan genelleştirilmiş tespit mekanizmalarından kaçınmak yer alıyor.
- Kapsam ve Özgüllük Arasındaki Denge: İlkelerden biri önemli bir ödünleşimi ortaya çıkardı: Kapsamı artırmak daha fazla tehdidi yakalayabilir, çoğu zaman özgüllüğü azaltır ve gereksiz gürültü yaratır. Bu bulgu, kural tasarımında dengeli bir yaklaşıma duyulan ihtiyacın altını çizmektedir.
- Gürültülü Kuralların Konsantrasyonu: Çalışma, yanlış alarmların çoğundan yüksek gürültü kurallarının küçük bir alt kümesinin sorumlu olduğunu gözlemledi. Buna karşılık çoğu kural, mevcut kural kümelerindeki verimsizlikleri gösteren uyarıları hiçbir zaman tetiklemedi.
- Eskinin Rolü ve Yeni Kurallar: Hem eski hem de yakın zamanda tanıtılan kurallar, algılama kapsamının sürdürülmesinde hayati rol oynadı ve kapsamın yalnızca yeni kural dağıtımının bir ürünü olduğu fikrinin çürütülmesini sağladı.
- Araç Geliştirme: Ekip, önerilen tasarım ilkelerini ihlal eden kuralları belirlemek için bir araç geliştirdi. Ön testler, açık kaynak ve ticari kaynaklardan gelenler de dahil olmak üzere birçok kuralın bu ilkelere göre optimize edilebileceğini ortaya çıkardı.
SOC’ler için Pratik Uygulamalar
Bulguların SOC’lerin gereksiz iş yükünü azaltmasına yardımcı olması ve analistlerin gerçek tehditlere odaklanmasına olanak sağlaması bekleniyor. Bu tasarım ilkelerini uygulayarak SOC’ler, kapsamı korurken daha az kaynakla daha iyi algılama elde edebilir.
Araştırma raporuna göre metodoloji, “uyarı sonrası işleme”de kullanılan makine öğrenimi araçları gibi otomatik sistemler için girdi kalitesinin önemini de vurguluyor. SOC’ler, uyarı üreten kuralları iyileştirerek bu sistemlerin genel etkinliğini artırabilir.
Koen Teuwen, Tom Mulders, Emmanuele Zambon ve Luca Allodi tarafından yazılan çalışma, ticari bir SOC içerisinde bireysel NIDS kurallarını kapsamlı bir şekilde analiz eden ilk çalışmadır.
Kural tasarımı için eyleme dönüştürülebilir yönergeler sağlayarak ve kural özellikleri ile bunların SOC operasyonları üzerindeki etkileri arasındaki bağlantıyı vurgulayarak önceki araştırmalardaki boşlukları kapatır.
Ekip, çalışmalarının SOC’lere kural mühendisliğine veri odaklı yaklaşımlar benimseme konusunda ilham vereceğini ve bunun da sürekli gelişen siber tehdit ortamına karşı daha sağlam savunmalara yol açacağını umuyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri