Modern tehdit avcılığının veri merkezli temeli
Siber güvenlikte, tehdit avcılığının geleceğinin yapay zeka olduğu söylendi. Ancak kirli sır, çoğu yapay zekanın bir eli arkadan bağlı şekilde çalışmasıdır. Araştırmacılar tartıştı Yapay zeka modellerinin yalnızca veri hatları kadar iyi olduğu. Bu prensip akademik makine öğrenimiyle bitmiyor. Siber güvenlik için de aynı derecede güçlü bir şekilde geçerlidir. Yapay zeka, otomasyon veya insan araştırması ancak üzerinde bulunduğu veri altyapısı kadar etkili olacaktır.
Güvenlik ekipleri sıklıkla, daha temel bir soruna, yani verinin kendisine değinmeden, mevcut veri göllerinin üzerine yapay zeka oluşturmaya veya yeni algılama modellerini ayarlamaya odaklanır. Telemetri, uç nokta, bulut, kimlik, SaaS ve kod depoları gibi bağlantısız sistemler arasında silolara ayrıldığında, analistler parçalardan bağlamı bir araya getirmek zorunda kalır. Tüm verileri uygun bir dönüşüm olmadan aynı platforma atmak, hem insanları hem de yapay zekayı bunaltmak. En gelişmiş algoritmalar bile eksik veya tutarsız verilerin üstesinden gelinemez. Zayıf girdilerle öğrenen veya çalışan yapay zeka her zaman kötü sonuçlara varacaktır. İnsan odaklı, yapay zeka destekli tehdit avcılığı da farklı değil.
Birleştirilmiş veriler neden önemlidir?
Birleşik ve ilişkili bir veri platformu oyunu değiştirir. Tüm verileri tek bir yere getirmek gürültüyü azaltır ve bireysel sistemlerin gizlediği kalıpları görmeyi mümkün kılar. Bu bilgilerin önceden dönüştürülmesi ve ilişkilendirilmesi aynı zamanda onu büyük dil modelleri ve diğer yapay zeka destekli araçlar tarafından daha kullanışlı hale getirir. Yapay zeka, bağlam yanlış veya çok büyük olduğunda genellikle kötü sonuçlara yol açan yapıyı veya bağlamı anlamlandırmaya çalışırken bilgi işlem gücünü ve belirteçleri boşa harcamak yerine, gerçek davranışları anlamaya odaklanabilir.
Birleştirilmiş veriler aynı zamanda bağlantılı kimliklerin doğal olarak ortaya çıkmasına da olanak tanır. Tek bir kullanıcı, AWS’de IAM sorumlusu, GitHub’da işleyici ve Google Workspace’te belge sahibi olarak tamamen farklı adlarla görünebilir. Bu sinyallerden herhangi birine baktığınızda, yalnızca küçük bir gerçeği görürsünüz. Onlara birlikte bakın, davranışsal netliğe sahip olursunuz. Onlarca dosya indiriliyor Google Workspace’ten gelen bir veri tek başına şüpheli görünebilir, ancak aynı kimlik dakikalar sonra herkese açık bir S3 paketi oluşturur ve düzinelerce veri deposunu kişisel bir dizüstü bilgisayara kopyalarsa, etkinlik açıkça kötü amaçlı hale gelir.
Korelasyon yoluyla tehdit avcılığı
Günlüklerden, konfigürasyonlardan, kod depolarından ve kimlik sistemlerinden gelen verilerin tümü tek bir yerde barındırıldığında, bir zamanlar saatler süren veya hatta mümkün olmayan korelasyonlar anında gerçekleşir. Örneğin çalınan kısa ömürlü kimlik bilgilerine dayanan yanal hareket, genellikle tespit edilmeden önce birden fazla sistemi geçer. Güvenliği ihlal edilmiş bir geliştirici dizüstü bilgisayarı birden fazla IAM rolünü üstlenebilir, yeni örnekleri başlatabilir ve dahili veritabanlarına erişebilir. Uç nokta günlükleri yerel güvenliği açığa çıkarıyor ancak IAM ve ağ verileri olmadan izinsiz girişin kapsamını kanıtlamanın bir yolu yok.
Benzer şekilde, bulutta bir gölge yönetici hesabı oluşturmak için güvenliği ihlal edilmiş bir GitHub Eylem jetonu kullanan bir saldırgan, CI/CD günlüklerini yapılandırma ve kimlik değişikliklerine bağlamadan fark edilmeyecektir. Aşırı geniş OAuth kapsamlarına sahip bir üçüncü taraf uygulaması, güvenliği ihlal edilmiş bir kullanıcı hesabı aracılığıyla verileri sızdırdığında, yalnızca birleştirilmiş SaaS erişim günlükleri ve OAuth izin geçmişleri gerçek vektörü ortaya çıkarabilir.
Bunlar soyut varsayımlar değil. Salesloft/Drift ihlali, saldırganların başlangıçta güvenliği ihlal edilmiş bir GitHub hesabı aracılığıyla nasıl erişim elde ettiklerini ve daha sonra Drift’in AWS ortamında güvenilir Drift-Salesforce entegrasyonu aracılığıyla yüzlerce bağlı müşteri ortamına erişmek için kullandıkları OAuth tokenlarını nasıl elde ettiklerini gösterdi. Adli tıp ekipleri GitHub, kimlik ve bulut ortamlarındaki etkinlikleri ilişkilendirene kadar her platformun günlükleri büyük olasılıkla normal görünüyordu.
Sadakat ve determinizm
Veri hattınızın kalitesi, tehdit avcılığınızın doğruluğunu doğrudan belirler. Doğru yapılırsa, doğru veri hattı aslına uygunluktan ödün vermeden tekrarlamayı ve dolayısıyla maliyetleri azaltır. Yapay zeka destekli sistemler, olasılıksal tahminler yerine deterministik yanıtlar üretmek için bu aslına güvenir. Veri kalitesinin iyileştirilmesi, yapay zeka performansı üzerinde herhangi bir mimari ince ayardan daha büyük bir etkiye sahiptir. Aynı şey tespit ve tepki için de geçerlidir.
Tehdit avcılığı temel olarak kesin sorular sormak ve güvenilir yanıtlar almakla ilgilidir. Bağlantılı, yüksek kaliteli bir veri temeli olmadan her sorgu eksiktir. Modern bir güvenlik mimarisi, hacimden ziyade açıklığa öncelik vermeli, hem insanların hem de makinelerin tek ve doğru bir kaynaktan çalışmasını sağlamalıdır.
Stratejik depolama ve yapay zeka hazırlığı
Tehdit avlama platformunuz aynı zamanda hangi verilerin sıcak ve soğuk depolamada bulunduğu konusunda da stratejik olmalıdır. Her günlüğün, izlemenin veya olayın anında sorgulanabilir olması gerekmez. Önemli olan, kimlik değişikliklerinin, bulut yapılandırmalarının ve kaynak kontrol etkinliğinin yüksek değerli telemetrisine kolayca erişilebilmesini sağlamak ve geçmiş veya düşük sinyalli verilerin daha derin adli kullanım için katmanlanabilmesini sağlamaktır. Depolama stratejiniz ne kadar akıllı olursa, analistleriniz ve modelleriniz gereksiz gürültü nedeniyle bilgi işlem veya maliyet israfı yapmadan o kadar hızlı yanıt verebilir.
Verilerinizin tümü tek bir yerde olduğunda, doğası gereği LLM kullanım senaryolarına daha hazır olur. Sağlam bir veri hattı, etkili bir bağlam mühendisliği biçimidir. Gibi Anthropic’teki mühendisler şunu gösterdi:En iyi yapay zeka sonuçları, doğru verileri, doğru zamanda, doğru bağlamla besleyen ancak çok fazla olmayan platformlardan gelir. Bir modele iyi yapılandırılmış ve konuyla ilgili bir dizi bilgi vermek, onun gereksiz ayrıntılarda boğulmak veya kritik gerçeklerden mahrum kalmak yerine, bir problem üzerinden akıl yürütmeye odaklanmasına olanak tanır. İnsanlar için de durum aynı: En iyi analistler bile gürültüye boğulduğunda veya bağlamdan mahrum kaldığında etkinliğini kaybeder. Veri hattınız bağlamsal hassasiyet için tasarlandığında yapay zeka tehdit avcılığınız gerçek anlamda ölçeklenebilir.
İçgörüyü avantaja dönüştürmek
Rakipler her zamankinden daha hızlı hareket ederken kazanan kuruluşlar, çevrelerini gerçek zamanlı olarak görebilen kuruluşlardır. Tehdit avcılığı için yapay zekaya hazır bir veri platformu oluşturmak yalnızca tespit hızıyla ilgili değildir; belirsizliği anlayışa dönüştürmekle ilgilidir. Birleştirilmiş veriler, birleşik vizyon anlamına gelir ve birleşik vizyon, proaktif savunmanın temelidir. Veri motoru aslına uygunluk, ölçek ve yapay zeka hazırlığına göre ayarlandığında tehdit avcılığınız daha keskin, daha hızlı ve daha hassas hale gelir.