Klasik kitapta ve daha sonra Brad Pitt Film Moneyball’da Oakland A’s, daha fazla harcayarak beyzbol devlerini yenmedi – farklı düşünerek, oyuncuları bağırsak içgüdüsü ve bilgelik almadan değil, ilgili veri ve kalıp tanıma kullanarak kazandılar. Ligin geri kalanı vuruş ortalamalarına sabitlenirken, gerçekten önemli olana odaklandılar: üssüne binme.
Güvenlik Operasyon Merkezleri (SOCS) aynı kavşakta ve sadece yaklaşımlarını yeniden düşünenler oyunda kalacak.
SOC reaktif modda sıkışmış
SOC modeli başlangıçta ihlalleri durdurmak veya içerecek şekilde inşa edilmedi, ancak kütükleri izlemek ve olaylara tepki vermek için. Bugün, bu miras hala devam ediyor: Çok fazla takım, yüksek hacimli uyarı fabrikaları gibi çalışıyor, önceliklendirme veya hareket etme yeteneği olmadan verilerde boğuluyor.
Uyarılar başlangıç noktasından ziyade nihai hedef olarak ele alındığında tehlikelidir. Analistlerden genellikle sınırlı bağlamda yüksek bahisli kararlar vermeleri istenir. Sistemi yükseltiyor, araştırıyor veya kapatıyorlar mı?
Son aylarda kooperatif ve Harrods gibi bazı belirleyici yanıtlar gördük, esasen bir saldırıyı durdurmak için köprüyü yukarı çekiyor. Doğru koşullarda işe yarayan cesur bir hareket, ancak iş açısından kritik sistemleri kırmaktan kaçınma baskısı felç olabilir.
Yanlış bir pozitif nedeniyle yanlış yapmak ve bir sunucuyu gereksiz yere kapatma korkusu vardır, daha fazla hasara neden olabilir ve bir ihlali durduramamaktan daha büyük bir damgalanma taşıyabilir.
Bu felç veri eksikliğinden kaynaklanmaktadır-bunun nedeni karar verme çerçevelerinin eksikliğidir. Sistem analistlere sinyaller verir, ancak yön vermez. Kaotik bir acil servisteki sağlık görevlileri gibi, SOC analistleri de genellikle daha büyük resme görünürlük olmadan bölünmüş ikinci triyaj ile karşı karşıya.
Bunlar, endişe verici uzun süren bekleme süreleri ile gördüğümüz son ihlallere katkıda bulunan faktörlerdir. Bir durumda, kötü amaçlı yazılım, keşfedilmeden önce yaklaşık iki yıl boyunca SK Telecom’un sistemlerinde gizlendi. Benzer bir hikaye, bilgisayar korsanlarının bir yıldan fazla bir süredir yüzlerce e -posta hesabına ve 150.000’den fazla hassas mesaja erişebildiği Para Birimi Denetçisi’nin (OCC) ABD ofisinde de benzer bir hikaye.
Bu gibi kalıcı ihlaller karanlıkta olmaz. Orada çok sayıda ipucu var, ancak geleneksel SOC takımları tarafından rutin olarak kaçırılıyorlar. Saldırıları güvenilir bir şekilde durdurmak ve bir ihlalin etkisini içeren daha fazla veri gerektirmez, ancak daha iyi yapı gerektirir.
Saldırganlar grafiklerde düşünüyor, savunucular da olmalı
Saldırılar düz çizgiler halinde yayılmaz – yanal olarak hareket ederler, sistemler, kullanıcılar ve hizmetler arasındaki ilişkileri sessizce kullanırlar. Yine de çoğu SOC araçlaması hala altyapıya tek başına bakıyor: burada bir ağ uyarısı, orada bir kimlik sinyali, başka bir yerde işaretlenmiş bir yanlış yapılandırma.
Saldırganlar çevreyi böyle görmüyor. Grafiklerde düşünüyorlar. Varlıkların nasıl bağlandığını, güven sınırlarının nereden ayrıldığını ve hangi yolların en az direniş sunduğunu inceliyorlar. Savunucuların aynı şekilde düşünmesi gerekiyor.
Bir grafik modeli, bir kuruluşun ortamının gerçek doğasını yansıtır. Bulutun bir köşesindeki tehlikeye atılmış bir hizmet hesabının veri merkezinde kritik bir iş yüküne nasıl sıçrayabileceğini gösterir. Nasıl bağlandığı için neyin savunmasız olduğunu ortaya çıkarır – sadece yaşadığı yerde değil.
Güvenlik endüstrisinde tehditle bilgilendirilmiş, riske dayalı bir yaklaşıma doğru hakim bir hareket vardır ve bu ihtiyacı karşılamak için grafik modeli iyi yerleştirilmiştir.
Çoğu araç yüzey düzeyinde içgörüde durur. Size ne olduğunu söylerler, ancak bir grafik size bunun neden olduğunu ve bundan sonra ne olabileceğini gösterir. Canlı bir risk haritası sağlar: katmanlı, bağlamsal ve düşman farkında.
Saldırgan mantığını anlamak bir bonus veya gelişmiş bir strateji olmamalı, ancak temel olması gerekir. Grafik modeli, SoC’lerin proaktif olarak riski azaltmaya yönelik tehditlere tepki vermesini sağlamak için gereklidir.
AI ile çalışan grafikler gürültüyü içgörü haline getiriyor
Statik veriler sizi sadece şimdiye kadar alabilir. Tespitin ötesine gerçek karar desteğine geçmek için, savunucular hızlı bir şekilde anlayabilen, öncelik verebilen ve tavsiyelerde bulunabilecek sistemlere ihtiyaç duyarlar. Bu bilgilerin grafiklenmesi, yalnızca AI’nın sağlayabileceği hız ve doğruluğu gerektirir.
Bir güvenlik grafiğine uygulandığında, AI sadece bireysel sinyalleri analiz etmez, aynı zamanda yapının kendisini geliştirir. Her düğümü bağlamla süslüyor: hangi kimlikler dahil, hangi iş yüklerine dokunuyorlar, hangi davranışların anormal olduğu ve hangi yollar en büyük riski oluşturuyor. Aniden, SOC en önemli bağlantıları vurgulayan dinamik bir haritaya sahiptir.
Bu bağlam her şeydir. Saat 3’teki küçük bir erişim modeli, düşük seviyeli bir uyarıdan erken bir uyarı sinyaline dönüşür. SOC ekipleri gürültülü sapmalarda zaman kaybetmeyi durdurabilir ve gerçek niyeti işaret eden aykırı değerlere odaklanabilir.
Bu insanları döngüden otomatikleştirmekle ilgili değil. Bu onların yargılarını artırmakla ilgilidir. AI özellikli grafikler analistlere hız ve hassasiyetle hareket etme netliği verir. Sadece bir riske işaret etmiyorlar – bunun neden bir risk olduğunu ve daha sonra ne yapacağını açıklıyorlar.
Gelen bir tehdide derhal yanıt vermenin ötesinde düşünmek ve zaman içinde nasıl gelişebileceğimizi görmek de önemlidir. Sadece kısa vadeye odaklanmak, takımların aynı savaşlarla tekrar tepki veren ve savaşan bir döngüde sıkışıp kalacağı anlamına gelir. Grafiksel bir yaklaşımın bağlamsal verileri, SOC’nin uzun vadeli stratejik iyileştirmeleri proaktif olarak tanımlayabileceği ve kısa vadeli taktik savaşlar kazanabileceği anlamına gelir.
Toplama’dan korelasyona geçiş yapmak
Her yeni besleme ve ek sinyal, bağlamla ilişkilendirilemedikçe gürültüye katkıda bulunur. Yine de birçok SoC, görünürlüğü kovalamaya devam ediyor, sanki kendi içinde bir son gibi.
Gözlemlenebilirlik doğru ilişkileri görmekle ilgilidir. Bu, bir bulut hesabındaki yanlış yapılandırılmış bir iş yükünün, başka bir bulut hesabındaki savunmasız bir kimlik tarafından nasıl ortaya çıkabileceğini anlamakla ilgilidir.
Başarılı bir şekilde ihlal içeren savunucular en fazla veriyi toplayanlar olmayacaktır. Her şeyin nasıl bağlandığını anlayanlar onlar olacak.