Soru: Oyun kitapları SecOps’ta nasıl faydalıdır?
Stellar Cyber’in kurucusu ve CTO’su Aimei Wei: CISO’ların dikkate alması için her gün yeni bir çözüm getiriyor. Ne yazık ki, bu araçların sunduğu içgörüleri harmanlamak ve bunları kuruldan ve analistlerden gelen zor soruları yanıtlamak için kullanmak zordur. CISO’lar, her güvenlik tehdidini çözmeyi vaat eden başka bir kısaltmaya değil, bağlama ve içgörülere dayalı daha kapsayıcı SecOps çözümlerine ihtiyaç duyar. Oyun kitapları gibi otomatik tekniklerin devreye girdiği yer burasıdır.
Basitçe söylemek gerekirse, geleneksel SecOps teknikleri, her aracın sağladığı tüm uyarıları ve içgörüleri kolayca anlaşılır bir raporda birleştiremez. Örneğin, bir kimlik yönetimi aracı yararlıdır – yetkisiz erişimi veya süresi dolmuş erişim kimlik bilgilerini işaretler. Ancak, bu tür içgörüleri daha büyük resme bağlamaz. Varlığın riskine göre hangi uyarılar önceliği hak ediyor? Yanlış pozitifleri nasıl ayıklarsınız? CISO’ların yanıtlara ihtiyacı vardır, ancak genellikle parçaları manuel olarak bir araya getirmek zorunda kalırlar.
Başucu kitapları genellikle SOAR bağlamında kullanılır. SOAR ürünlerindeki başucu kitapları çoğunlukla bir SOC analistinin bir uyarıyı nasıl önceliklendirdiği sürecini otomatikleştirmeye odaklanır. Kullanıcıların, belirli bir uyarıyı veya grubu önceliklendirmek ve bir uyarı grubunu ilişkilendirmek için belirli bir oyun kitabı geliştirmesi gerekir. Uyarıların önceliklendirilmesinden sonra oyun kitapları ayrıca bir kuruluşun politikasını içerebilir ve bazı eylemler gerçekleştirebilir.
Son zamanlarda, genişletilmiş algılama ve yanıt (XDR) çözümleri, CISO’lara daha fazla bağlam sunmak için gelişti. XDR, gerekli manuel işi azaltmak için uyarıları ilişkilendirirken tüm saldırı yüzeyinin görünürlüğünü sağlar. Başucu kitapları aynı zamanda daha iyi temel neden analizine ilişkin içgörüler sunarak analist üretkenliğini artırabilir.
XDR ile, kullanıcının belirli oyun kitapları geliştirmesine gerek kalmadan yapay zeka ve makine öğrenimi kullanılarak otomatik olarak çok sayıda uyarı önceliklendirme, gruplama ve ilişkilendirme yapılmıştır. XDR’deki başucu kitapları, sistem tarafından analiste zaten sağlanan bağlamlarla ilişkili çeşitli uyarılar için yanıt verme eylemlerini otomatikleştirmeye odaklanır.
Uyarıları gruplamak için yapay zeka ve makine öğrenimi algoritmalarının kullanılması, her şeyin tek bir konsolda gösterilmesi sayesinde daha hızlı saldırı tespiti sağlar – analistlerin farklı sistemleri kontrol etmesini gerektiren eski teknolojiye göre çok büyük bir gelişme. Yanıt otomasyonu, ağ tehditlerini algıladıktan sonra güvenlik duvarı bağlantı noktalarını kapatmak gibi belirli koşullar karşılandığında görevleri yürütebilir. Bunun gibi otomatikleştirilmiş iş akışları, bir SecOps ekibinin şüpheli durumlar ortaya çıktığında yanıtını otomatikleştirmesine olanak tanıyan bir XDR oyun kitabında derlenebilir.
Yapay zeka araştırma ve geliştirmesinin hızlı temposu göz önüne alındığında, XDR’nin tehditlere ve önerilen eylemlere ilişkin bağlam sunmak için tahmine dayalı yapay zeka analitiğini dahil etmesi yalnızca an meselesidir. Tahmine dayalı yapay zeka, insan SecOps analist incelemesi için toplanan bilgiler, sistemdeki güvenlik açıkları ve yanlış yapılandırmalar etrafındaki analitiği işaretleyebilir ve ardından otomatik yanıtlar gönderebilir. Maliyet ve yatırım getirisi, tahmine dayalı yapay zekayı şu anda büyük işletmeler dışında herkesin erişemeyeceği bir yere yerleştirebilirken, gelecekte demokratikleşmeyi ve alanı her büyüklükteki kuruluşa açmayı bekleyebiliriz.