Yapay zekanın algoritmaları ve makine öğrenimi, çok büyük miktarda veriyi verimli bir şekilde ve nispeten kısa bir sürede ayıklayabilir. Bu, ağ savunucularının hiç bitmeyen bir uyarı kaynağından geçmesine ve (yanlış pozitifler yerine) olası bir tehdit oluşturan uyarıları belirlemesine yardımcı olmak açısından faydalıdır. Takviyeli öğrenme, yapay zekanın siber güvenlik ekosistemine sağladığı faydanın temelini oluşturur ve insanların deneyim ve deneme yanılma yoluyla öğrenme şekline en yakın olanıdır.
Denetimli öğrenmenin aksine, takviyeli öğrenme, aracıların bir ortamdaki kendi eylemlerinden ve geri bildirimlerinden nasıl öğrenebileceğine odaklanır. Buradaki fikir, takviyeli öğrenmenin, olumlu ve olumsuz davranışları hesaplamak için ödülleri ve cezaları kullanarak zaman içinde yeteneklerini en üst düzeye çıkarmasıdır. Gelecekte en iyi kararı vermek için yeterli bilgi toplanır.
Takviyeli öğrenme nasıl yardımcı olabilir?
Güvenlik operasyonları merkezi (SOC) analistleri için uyarı yorgunluğu, analistlerin tükenmişliğinden ve bunun sonucunda çalışanların işten ayrılmasından endişe duyan baş bilgi güvenliği görevlileri için meşru bir iş endişesi haline geldi. Analistlerin gerçek tehditleri önceliklendirebilmesi için uyarı “gürültüsünün” çoğunu yönetebilen herhangi bir çözüm, kuruluşun hem zamandan hem de paradan tasarruf etmesini sağlayacaktır.
Yapay zeka yetenekleri, bu tür saldırıların öldürme zincirini başarılı olmadan önce anlayıp tanıyarak büyük sosyal mühendislik, kimlik avı ve spam kampanyalarının oluşturduğu tehdidin azaltılmasına yardımcı olur. Boyutları ve bütçeleri ne olursa olsun çoğu kuruluşun karşılaştığı güvenlik kaynağı kısıtlamaları göz önüne alındığında bu önemlidir.
Daha karmaşık dinamik saldırılar daha büyük bir zorluktur ve tehdit aktörüne bağlı olarak, saldırganlar saldırı sırasının bir bölümünü ayarlamadan veya değiştirmeden önce yalnızca sınırlı sayıda kullanılabilir. Takviyeli öğrenmenin saldırı döngülerini inceleyebileceği ve hem başarısız hem de başarılı olan önceki saldırılardan uygulanabilir kalıpları tanımlayabileceği yer burasıdır. Karmaşık saldırılara ve bunların çeşitli yinelemelerine ne kadar maruz kalırsanız, takviyeli öğrenme, bunları gerçek zamanlı olarak tanımlayacak şekilde daha iyi konumlandırılır.
Elbette, özellikle saldırganlar saldırı şeklini sık sık değiştiriyorsa, başlangıçta bir öğrenme eğrisi olacaktır. Ancak saldırı zincirinin bir kısmı kalacak ve süreci yönlendirecek uygun bir veri noktası haline gelecek.
Tespitten tahmine
Tespit etme tehditleri izlemenin yalnızca bir parçasıdır. Yapay zeka destekli öğrenmenin uygulanabilirliği olabilir tahmin Saldırıları da önlemek için geçmiş deneyimlerden ve düşük sinyallerden ders çıkarıp bir dahaki sefere ne olabileceğini tahmin etmek için kalıpları kullanmak.
Siber tehditlerin önlenmesi, pasif tespitten doğal bir ilerlemedir ve siber güvenliği reaktif olmaktan ziyade proaktif hale getirmek için gerekli bir ilerlemedir. Takviyeli öğrenme, tehdide dayalı olarak en iyi kararları vererek bir siber güvenlik ürününün kapasitesini artırabilir. Bu, yalnızca müdahaleleri kolaylaştırmakla kalmayacak, aynı zamanda optimum tahsis, ortamdaki diğer siber güvenlik sistemleriyle koordinasyon ve karşı önlem dağıtımı yoluyla mevcut kaynakları en üst düzeye çıkaracaktır. Sürekli geri bildirim ve ödül-ceza döngüsü, ne kadar uzun süre kullanılırsa, önlemeyi giderek daha sağlam ve etkili hale getirecektir.
Takviyeli öğrenme kullanım örnekleri
Takviyeli öğrenmenin bir kullanım örneği, bir aracının trafik düzenlerini gözlemleyerek ve bir uyarı oluşturmak için öğrenilen dersleri uygulayarak ağ izinsiz girişlerini tespit edebildiği ağ izlemedir. Takviyeli öğrenme, karşı önlemleri uygulayarak bunu bir adım daha ileri götürebilir: trafiği engellemek veya yeniden yönlendirmek. Bu, takviyeli öğrenmenin ağdaki iletişim modellerini ve cihazlarını inceleyebildiği ve en iyi müdahale eylemi yöntemine göre bunları bozabildiği botnet'lere karşı özellikle etkili olabilir.
Yapay zeka destekli öğrenme, kötü amaçlı yazılımların nasıl çalıştığını analiz edebildiği sanal bir sanal alan ortamına da uygulanabilir; bu, güvenlik açığı yönetimi yama yönetimi döngülerine yardımcı olabilir.
Takviyeli öğrenme belirli zorluklarla birlikte gelir
Acil endişelerden biri, ağlara sürekli olarak eklenen ve korunması gereken daha fazla uç nokta oluşturan cihaz sayısıdır. Bu durum, uzaktan çalışma durumlarının yanı sıra profesyonel ortamlarda kişisel cihazlara izin verilmesiyle daha da kötüleşiyor. Cihazların sürekli eklenmesi, makine öğreniminin saldırılar için tüm potansiyel giriş noktalarını hesaba katmasını giderek daha da zorlaştıracak. Sıfır güven yaklaşımı tek başına zorlu zorluklara yol açsa da, bunu yapay zeka takviyeli öğrenmeyle sinerjileştirmek güçlü ve esnek bir BT güvenliği sağlayabilir.
Diğer bir zorluk ise kalıpları tespit etmek ve karşı önlemleri uygulamaya koymak için yeterli veriye erişim olacaktır. Başlangıçta, tüketilecek ve işlenecek yeterli miktarda mevcut veri olmayabilir, bu da öğrenme döngülerini çarpıtabilir ve hatta kusurlu savunma eylemlerine yol açabilir.
Bunun, öğrenme döngülerini kandırmak ve bilginin “temel gerçeğini” başlangıçta etkilemek için verileri kasıtlı olarak manipüle eden rakiplerle mücadelede sonuçları olabilir. Siber güvenlik teknolojilerine daha fazla yapay zeka takviyeli öğrenme algoritması entegre edildiğinden bu durum dikkate alınmalıdır. Tehdit aktörleri yenilikçi olmasalar ve kalıpların dışında düşünmeye istekli olmasalar bile bir hiçtirler.
Katkıda bulunan yazar: Emilio Iasiello, Küresel Siber Tehdit İstihbarat Müdürü, Dentons