AI konsept kanıtıdan günlük güvenlik operasyonlarına geçiyor. Birçok SoC’de, şimdi uyarı gürültüsünü azaltmak, soruşturmalar sırasında analistleri yönlendirmek ve olay tepkisini hızlandırmak için kullanılmaktadır. Bir zamanlar deneysel teknoloji olarak görülen şey, CISOS’un ölçebileceği sonuçlar vermeye başlıyor.
Bunlardan bazıları yıllardır yürürlükte. Makine öğrenimi zaten birçok tehdit algılama motoruna ve davranışsal analiz araçlarına güç veriyor. Ancak son Genai dalgası yeni kapılar açtı. CISO’lar şimdi bu araçların yardımcı olabileceği, korkuluklara ihtiyaç duydukları yer ve ekipleri için ne anlama geldiğini tartıyor.
Daha az uyarı, daha hızlı triyaj
Güvenlik ekipleri uyarılarda boğulmak için kullanılır. Çoğu yanlış pozitiftir, bazıları düşük risktir, sadece birkaç madde. AI bu karmaşayı kesmeye yardımcı oluyor.
Satıcılar uyarıları sıralamak ve puanlamak için makine öğrenme modelleri oluşturuyorlar. Bu araçlar zamanla hangi sinyallerin önemli ve hangilerinin göz ardı edilebileceğini öğrenir. İyi ayarlandıklarında, uyarı hacimlerini yarıdan fazla düşürebilirler. Bu, analistlere gerçek tehditlere bakmak için daha fazla zaman tanır.
Genai yeni bir şey ekliyor. Sadece uyarıları sıralamak yerine, bazı araçlar şimdi ne olduğunu özetliyor ve sonraki adımları öneriyor. Bir istem, bir analiste bir saldırganın ne yaptığını, hangi sistemlere dokunulduğunu ve verilerin ortaya çıkıp çıkmadığını gösterebilir. Bu, özellikle daha yeni analistler için zamandan tasarruf edebilir.
Tufin’deki Field CTO olan Erez Tadmor, AI’nın ağ erişim sorunlarını gidermek için harcanan sürenin azaltılmasında rol oynadığını söyledi. Kubernetes’te yeni bir mikro hizmet kuran bir DevOps ekibinin AWS’deki arka uç veritabanına ulaşamayacağı bir vakayı açıkladı. “VPC ayarlarını, güvenlik gruplarını ve ağ politikalarını manuel olarak gözden geçirmek yerine, bir AI asistanı, ‘Neden bir Erişim Veritabanına hizmet veremiyor?’ Diye sordular. Yapay zeka tüm yolu izledi, bağlantıyı engelleyen eski bir ağ ACL girişini belirledi ve sorunu saatler veya günler yerine dakikalar içinde çözerek minimum, güvenli bir değişiklik önerdi. ” Yetkili, AI’nın saldırganların karmaşık sıfır güven veya hibrid ortamlarda bile yanal olarak nasıl hareket etmiş olabileceğini de haritalayabileceğini de sözlerine ekledi.
Blackwire Labs CEO’su Josh Ray, “Bir sağlık hizmeti CTO, bir iş e -posta uzlaşma saldırısında 4 saat içinde manuel yanıtlara karşı 4 saat içinde bir işletme e -postası uzlaşma saldırısında on binlerce tasarruf sağladı. Büyük bir ilçe hükümeti, yüz binlerce danışmanlık maliyetinden kaçındı ve haftalar yerine birkaç dakika içinde kapsamlı güvenlik analizini tamamladı” dedi. “Bazı durumlarda, Fortune 100 firmaları istihbarat analizi süresini yarıya indirdi ve hatta ileri analitiklerden daha az siber sigorta primleri görüyorlar.”
SOC’de AI Copilots
“AI Copilot” fikri çekişiyor. Bu araçlar güvenlik ekipleri için sanal asistanlar gibi davranır. Soruları cevaplayabilir, soruşturmalara yardımcı olabilir ve hatta senaryolar veya sorgular yazabilirler.
Örneğin, bir analist “bana bu IP adresinden son etkinlik göster.” Yapay zeka doğru verileri çekebilir ve ne bulduğunu açık dilde açıklayabilir. Bu, genç personel için giriş engelini düşürür ve herkesin daha hızlı çalışmasına yardımcı olur.
Bazı araçlar ayrıca IP’leri engelleme, makineleri izole etme veya hesapları sıfırlama gibi rutin görevleri otomatikleştirmeye yardımcı olur. Bu, bir tehdit doğrulandıktan sonra yanıtı hızlandırır.
Conifers CEO’su Tom Findling, “İnsanlar hala sürecin önemli bir parçası. Analistler AI’ya geri bildirim sağlıyor, böylece Conifers CEO’su Tom Findling, gelişmeye, çevreye özgü bilgileri paylaşmaya, sürekli gözetim sürdürmeye ve AI’nın başa çıkamayacağı şeyleri ele almaya devam edecek. “Cisos, analistlerin sistemin nasıl geliştiğini yönlendirmesini sağlayan bir geri bildirim döngüsü oluştururken, en fazla kaynağı tüketen veya en yüksek riski taşıyan alanları hedefleyerek başlamalıdır.”
Modelleri eğitmek
Bir zorluk, modellerin kendi ortamınızdan öğrenmesini sağlamaktır. Genel modeller bir noktaya kadar çalışır, ancak her şirketin ağı farklıdır.
Satıcılar, AI araçlarını yerel verilerle ayarlamanın yolları üzerinde çalışıyor. Buna kütükler, tehdit geçmişi ve oyun kitapları dahildir. Eğitim verileri ne kadar alakalı olursa, sonuçlar o kadar iyi olur. Ancak bu, özellikle modeller bulutta barındırılıyorsa, veri gizliliği ve kontrolü hakkında sorular da gündeme getirir.
CISOS, verilerin nasıl kullanıldığını, paylaşılıp paylaşılmadığını ve modelin nasıl denetlenebileceğini sormalıdır. Yönetişim bugün ana odak noktası olmasa bile, araçlar daha gömülü hale geldikçe bu sorular önemli olacaktır.
Takım üzerindeki etki
En büyük değişikliklerden biri AI’nın güvenlik rollerini nasıl etkilemesi olacaktır. Giriş seviyesi analistleri artık tüm gün panoları tıklayarak harcayamayabilir. Bunun yerine, AI önerilerini doğrulamaya ve sistemi ayarlamaya odaklanabilirler.
Bu, özellikle yeteneğin az olduğu bir pazarda bir kazanç olabilir. Ancak bu aynı zamanda ekiplerin yeni beceriler geliştirmeleri gerektiği anlamına geliyor. Nasıl yazılacağını, AI çıktısını yorumlayacağınızı ve ince ayar modellerinin işin bir parçası haline geleceğini bilmek.
Çoğu CISO hala test aşamasındadır, ancak erken benimseyenler zaten hız ve ölçekte gelişmeler görüyor. Anahtar, insanları döngüde tutmak ve yapay zekayı bir yerine değil, bir kuvvet çarpanı olarak ele almaktır.
Sırada ne aranmalı
Bir sonraki aşama, araçlar arasında AI güdümlü korelasyon, daha iyi saldırı simülasyonları ve uyarlanabilir yanıt iş akışlarını içerebilir. Ürünler olgunlaştıkça, bağlamı ve niyeti anlamada daha iyi olacaklar.
Cisos bu gelişmelere yakın kalmalı ancak pratik kalmalıdır. Her görevin AI’ya ihtiyacı yoktur ve her ürün vaat ettiklerini sunmaz. Ancak doğru yerlerde, bu araçlar ekibinize bir avantaj sağlayabilir.
İncelemeler: