[ This article was originally published here ]
Çok fazla veriyi yönetmenin bir yolu
İşi korumak için, güvenlik ekiplerinin tehditleri hızlı bir şekilde tespit edebilmesi ve bunlara yanıt verebilmesi gerekir. Sorun, ortalama bir organizasyonun her gün büyük miktarda veri üretmesidir. Ağ araçlarından, güvenlik araçlarından, bulut hizmetlerinden, tehdit istihbaratı akışlarından ve diğer kaynaklardan Güvenlik Operasyonları Merkezine (SOC) bilgi akışı. Tüm bu verileri makul bir sürede incelemek ve analiz etmek, insan emeğinin çok ötesinde bir iş haline geldi.
Yapay zeka destekli araçlar, güvenlik ekiplerinin çalışma şeklini değiştiriyor. Makine öğrenimi (yapay zekanın veya “AI”nın bir alt kümesidir) ve özellikle makine öğrenimi destekli tahmine dayalı analitik, uyarıları hızlı bir şekilde analiz etmek ve öncelik sırasına koymak için otomatik bir yol sağlayarak SOC’de tehdit algılamayı ve müdahaleyi geliştiriyor.
Tehdit tespitinde makine öğrenimi
Peki makine öğrenimi (ML) nedir? Basit bir ifadeyle, bir makinenin, özellikle söylenmeden görevleri yerine getirebilmesi veya sorunları çözebilmesi için bir öğrenme sürecini otomatikleştirme yeteneğidir. Veya, , “. . . açıkça programlanmadan öğrenmek.”
Makine öğrenimi algoritmaları, yeni verilerdeki sonuçlar hakkında bilinçli tahminler yapabilmeleri için ayrıştırdıkları ve öğrendikleri büyük miktarda veriyle beslenir. Tahminleri “eğitim” ile gelişir; bir makine öğrenimi algoritması ne kadar çok veri beslenirse, o kadar çok öğrenir ve böylece temel modelleri o kadar doğru olur.
Makine öğrenimi, çeşitli gerçek dünya amaçları için kullanılsa da, tehdit tespitindeki birincil kullanım durumlarından biri, anormal davranışın tanımlanmasını otomatikleştirmektir. Bu algılamalar için en sık kullanılan makine öğrenimi modeli kategorileri şunlardır:
denetimli modeller mevcut etiketli veri kümelerinden elde edilen bilgileri ve istenen sonuçları yeni verilere uygulayarak örnek yoluyla öğrenin. Örneğin, denetlenen bir makine öğrenimi modeli, kötü amaçlı yazılımları tanımayı öğrenebilir. Bunu, normal kabul edilenden nasıl saptığını öğrenmek için bilinen kötü amaçlı yazılım trafiğiyle ilişkili verileri analiz ederek yapar. Daha sonra bu bilgiyi yeni verilerde aynı kalıpları tanımak için uygulayabilir.
denetimsiz modeller etiketlere güvenmeyin, bunun yerine etiketlenmemiş veri kümelerindeki yapıyı, ilişkileri ve kalıpları tanımlayın. Daha sonra bu bilgiyi davranıştaki anormallikleri veya değişiklikleri tespit etmek için kullanırlar. Örneğin: denetimsiz bir makine öğrenimi modeli, bir ağdaki trafiği belirli bir süre boyunca gözlemleyebilir, sürekli olarak “normal” davranışın ne olduğunu öğrenebilir (verilerdeki kalıplara dayalı olarak) ve ardından sapmaları, yani anormal davranışı araştırabilir.
ChatGPT gibi büyük dil modelleri (LLM’ler), denetimsiz öğrenmeyi kullanan bir tür üretici yapay zekadır. Büyük miktarlarda etiketlenmemiş metin verilerini alarak eğitim alırlar. LLM’ler sözcükler arasındaki bağlantıları ve kalıpları bulmak için sözdizimini analiz etmekle kalmaz, aynı zamanda semantiği de analiz edebilirler. Bu, yeni içerik oluşturmak için bağlamı anlayabilecekleri ve mevcut verilerdeki anlamı yorumlayabilecekleri anlamına gelir.
Nihayet, pekiştirme modelleri, insan öğrenmesini daha yakından taklit eden, etiketli girdiler veya çıktılar verilmez, bunun yerine deneme yanılma yoluyla öğrenir ve mükemmel stratejiler. Herhangi bir veri analiz aracında olduğu gibi makine öğreniminde de çıktının doğruluğu, girdi olarak kullanılan veri setinin kalitesine ve genişliğine bağlıdır.
SOC için değerli bir araç
SOC’nin sürekli değişen bir tehdit ortamı karşısında dirençli olması gerekir. Analistler, hangi uyarılara öncelik verileceğini ve hangilerinin göz ardı edileceğini hızlı bir şekilde anlayabilmelidir. Makine öğrenimi, tehdit algılamayı ve yanıtlamayı daha hızlı ve daha doğru hale getirerek güvenlik operasyonlarını optimize etmeye yardımcı olur.
Makine öğrenimi destekli araçlar, çok sayıda farklı kaynaktan gelen büyük miktardaki olay ve hadise verilerinin analizini neredeyse gerçek zamanlı olarak otomatikleştirir ve iyileştirir. Verilerdeki kalıpları ve anormallikleri belirlerler ve ardından yama yapılması gereken şüpheli tehditler veya kritik güvenlik açıkları için uyarılara öncelik verirler. Analistler bu gerçek zamanlı zekayı kendi içgörülerini geliştirmek ve yanıtlarını nerede ölçeklendirebileceklerini veya araştırmaları gereken zamana duyarlı tespitlerin nerede olduğunu anlamak için kullanırlar.
Bilinen kötü trafikte uyarı veren imza tabanlı araçlar gibi geleneksel tehdit algılama yöntemleri makine öğrenimi ile artırılabilir. Davranışsal anormalliklere dayalı olarak uyarı veren tahmine dayalı analitiği kötü trafikle ilgili mevcut bilgilerle birleştiren makine öğrenimi, yanlış pozitifleri azaltmaya yardımcı olur.
Makine öğrenimi ayrıca, daha rutin güvenlik işlemleri yanıtı için iş akışlarını otomatikleştirerek güvenlik işlemlerinin daha verimli olmasına yardımcı olur. Bu, analisti tekrarlayan, manuel ve zaman alıcı görevlerden kurtarır ve onlara stratejik girişimlere odaklanmaları için zaman verir.
Yeni yetenekler, USM Anywhere’deki tehdit istihbaratını geliştiriyor
USM Anywhere platformu, küratörlüğünü yaptığı tehdit istihbaratının çoğu için AT&T Alien Labs ve AT&T Alien Labs Open Threat Exchange’in (OTX) hem denetimli hem de denetimsiz makine öğrenimi modellerini uzun süredir kullanıyor. Açık Tehdit Borsası, dünyadaki en büyük tehdit istihbaratı paylaşım platformları arasındadır. 200.000’den fazla üyesi, platforma günlük olarak yeni istihbarat sağlıyor.
Alien Labs, makine öğrenimi modellerini, OTX’teki kullanıcı tehdit istihbaratı gönderimlerinden uzlaşma göstergelerinin (IOC’ler) çıkarılmasını otomatikleştirmek ve ardından bu IOC’leri ilişkili tehdit aktörleri, tehdit kampanyaları, bölgeler ve endüstriler gibi bağlamla zenginleştirmek de dahil olmak üzere çeşitli şekillerde kullanır. hedeflenen, düşman altyapısı ve ilgili kötü amaçlı yazılım.
USM Anywhere’deki perde arkası yetenekleri, güvenlik ekiplerinin günümüzün en yaygın tehditlerini bulmasına yardımcı olmak için yeni, yüksek değerli makine öğrenimi modelleriyle güçlendirildi.
Bu yeni modeller, platformun daha az yanlış pozitif ile daha yüksek güvenliğe sahip uyarılar oluşturmasına yardımcı olur ve hem içeriden hem de dışarıdan tehditlerin daha tahmine dayalı olarak tanımlanmasını kolaylaştırmak için gelişmiş davranışsal tespitler sağlar. Denetimli modelleri, davranışları tahmin etmek için kötü amaçlı yazılımları tanımlayabilir ve kümelere ve ailelere göre sınıflandırabilir. Ayrıca, gizlenmiş PowerShell komutlarını, etki alanı oluşturma algoritmalarını ve yeni komut ve kontrol altyapısını algılayabilirler.
Platform genişletilebilir bir mimariye sahip olduğundan, tehdit ortamının gerektirdiği şekilde yeni modeller sunulabilir ve mevcut modeller sürekli olarak geliştirilebilir.
Makine öğreniminin günümüzün SOC’sini nasıl dönüştürdüğü hakkında daha fazla bilgi için ve USM Anywhere platformunun kendi analitik yeteneklerinin nasıl geliştiğini öğrenmek için .
reklam