Yazan: Kevin Kennedy, Ürünlerden Sorumlu Başkan Yardımcısı, Vectra AI
Artık şirketlerin etkili güvenlik çözümlerine her zamankinden daha fazla ihtiyacı var. Küresel siber suçların maliyetinin her yıl yüzde on yedi oranında artarak 2025 yılına kadar kümülatif olarak 12 trilyon ABD dolarına ulaşacağı öngörülüyor. Neyse ki ateş, yangınla mücadele etmek için kullanılabilir: Yapay zeka, kuruluşların verilerini daha iyi korumalarına, saldırganları engellemelerine ve Tehditleri hızlı bir şekilde tanımlayın ve düzeltin. Ancak “AI” hakkındaki söylentiler zirvedeki “kripto”yu bile gölgede bırakırken, gerçeği bulmak için pazarlamayı yarıda bırakmak neredeyse imkansız. On yıllık uygulamalı siber güvenlik yapay zekası geliştirme deneyimimize dayanarak, değeri en üst düzeye çıkarmak için belirlediğimiz beş ilkeyi burada bulabilirsiniz:
Açık bir sorun bildirimiyle başlayın.
ChatGPT ile oynadıysanız sorguda yapılan küçük değişikliklerin çıktıda büyük farklar yaratabileceğini biliyorsunuzdur. Aynı şey herhangi bir yapay zeka modelinin oluşturulmasında da geçerlidir. Bu nedenle, problem ifadesinin netleştirilmesi kritik öneme sahiptir. Başladığımızda şu sorun ifadesini içeren bir model oluşturduk: “Herhangi bir hesabın alışılmadık kullanımını bulun.” Müşterilerimiz çok gürültülü olduğu için kapatmamız için bize yalvardılar. Modern işletmelerde alışılmadık bir durumun olağan olduğu ortaya çıktı.
Çizim tahtasına geri döndük, tehdit modeli üzerinde düşündük ve daha net bir sonuca ulaştık: “Gözlemlenen ve verilen ayrıcalık arasındaki boşlukta faaliyet gösteren ayrıcalıklı hesapları tanımlayın”. Neden? Saldırganlar kaçınılmaz olarak imtiyazlı hesaplar aracılığıyla olayı tırmandırır ve aşırı geniş ayrıcalıktan faydalanırlar. Dolayısıyla, sıfır güven politikasını etkili bir şekilde tanımlayabilir ve ardından ihlalleri işaretleyebilirsek, saldırganın etkinliğini doğru bir şekilde tespit edebiliriz. Bu, modellerin oluşturulmasında tamamen farklı bir yaklaşım gerektirdi, ancak fark çok derin. Ayrıcalıklı Erişim Analitiği (PAA) artık tüm portföyümüzdeki en değerli yeteneklerden biri; çünkü daha kesin bir sorun bildirimiyle başladık.
Doğru verileri toplayın
Hiçbir yapay zeka modeli, eğitildiği ve üzerinde çalıştığı verilerden daha iyi olamaz. Başvurulan PAA modelleri, ilgili etki alanındaki her Kerberos işlemi ve/veya Azure AD eylemi hakkında bilgi olmadan çalışamaz. Bu veriler, ayrıcalık ve ilişkilere ilişkin görünümü geliştirmenin yanı sıra, tespit amacıyla hesap kullanımını gerçek zamanlı olarak değerlendirmek için doğru bilgileri sağlar. Benzer şekilde, ağ komut ve kontrolünün güvenilir bir şekilde tanımlanması, paket akışına ilişkin çok ayrıntılı zaman serisi verilerinin yanı sıra hem kötü hem de iyi trafik için çok sayıda etiketli veri gerektirir.
En kolay erişilebilen verileri kullanmak cazip gelebilir. Ağlar için bu, ayrıntılı ağ meta verileri yerine akış veya güvenlik duvarı günlükleri olabilir. Ancak bunun gibi kısayolları kullanırsanız, sunulan değeri önemli ölçüde etkileyecektir.
Her sorun için en iyi yapay zeka yaklaşımını seçin
Doğru sorun bildirimine ve doğru verilere sahipsiniz; şimdi çözmeye çalıştığınız soruna uygun bir yapay zeka yaklaşımı seçmenin zamanı geldi. Sinir ağları ve derin öğrenmeye, K-ortalama kümelemeye, yeniliklere ve (mevcut öfke) dönüştürücü ve büyük dil modellerine kadar çok sayıda makine öğrenimi (ML) tekniği mevcuttur.
“Bedava öğle yemeği yok” teoreminin de belirttiği gibi, tıpkı verilerde olduğu gibi, konu yapay zeka algoritmalarıyla çalışırken başarıya giden hiçbir kısayol yoktur. Veri bilimcileri ve makine öğrenimi mühendisleri (MLE’ler), istenen sonuçları elde edecek özel bir algoritma seçebilmek için üzerinde çalıştıkları verileri ve eldeki sorunu anlamalıdır ve genel amaçlı algoritmalar bunu kesmeyecektir. Aslında, yanlış algoritmanın seçilmesi, yalnızca idealin altında olmakla kalmayıp tamamen yanlış sonuçlar da verebilir.
Ayrıca, Yüksek Lisans/transformatörlerin bu teoremi geçersiz kıldığını düşünüyorsanız yanılıyorsunuz: algılama kullanım senaryoları için en son teknolojiyi değerlendirdik ve bunların günümüzde özel modellerden daha düşük performans gösterdiğini gördük. Yüksek Lisans’lar bir sonraki adımın ne olacağını tahmin etmede iyidir (örneğin bir sonraki pakette kaç bayt olacağını), ancak şeyleri kategorilere ayırmada o kadar iyi değildir (örneğin bu bağlantı kötü amaçlı mı yoksa iyi niyetli mi).
Hızla ve ölçekte çalıştırın (ve uygun maliyetli!)
Siber saldırılar hızlı gerçekleşir. Bu özellikle bulutta geçerlidir, ancak ağ içinde bile fidye yazılımı saldırıları görünüşte göz açıp kapayıncaya kadar gerçekleşebilir. Defans oyuncuları için her dakika önemlidir. Bir araştırmaya göre kuruluşların büyük çoğunluğu (yüzde 90) siber tehditleri bir saat içinde tespit edemiyor, kontrol altına alamıyor ve çözemiyor.
Bu çerçevede, yapay zekanın yalnızca doğru yanıtları alması değil, aynı zamanda hızlı çalışması ve ortamınızda uygun maliyetli olması da kritik önem taşıyor. Dün fidye yazılımına maruz kaldığınızı bugün tespit etmeniz yararlı olmadığından, hız gereksinimleri toplu analizleri devre dışı bırakır. Bu, kapsama ihtiyaç duyduğunuz tüm güvenlik sorunu bildirimlerini uygun bir fiyatla yanıtlamak üzere kuruluşunuzun verilerine karşı en iyi yapay zeka yaklaşımını çalıştırmak için yukarıdaki gereksinimleri karşılamaya devam eden gerçek zamanlı bir akış mimarisine sahip olmanın kritik önem taşıdığı anlamına gelir. Platform önemlidir.
Yapay zekadan en iyi şekilde yararlanmak için sürekli doğrulama ve iyileştirme gerekir
Güvenlik hiper dinamik bir alandır: Saldırı yüzeyleri sürekli genişliyor ve tehditlerin tespit edilmesi giderek zorlaşıyor. Aynı zamanda, güvenlik operasyon merkezi (SOC) analistleri de uyarı yağmuruna tutuluyor. 2023 Tehdit Tespit Durumu Araştırma Raporu’na göre, “SOC analistlerinin yüzde 97’si, bir uyarı seli altında kaldığı için ilgili bir güvenlik olayını kaçırmaktan endişe ediyor.”
Bu nedenle, yapay zeka modellerinin yapmak üzere tasarlandıkları şeyi başarmaya devam ettiğinden emin olmak için satıcıların ürünleri sürekli olarak doğrulaması ve iyileştirmesi yapay zeka için bile önemlidir. Jargonda bu, kesinlik ve hatırlama yoluyla yapılır. Hassasiyet, yanlış pozitif oranların bir ölçüsüdür ve geri çağırma, yanlış negatif oranların bir ölçüsüdür ve genellikle birbirleriyle gerilim içinde çalışırlar. Temel olarak satıcıların, analistleri uyarılara boğmadan, modellerinin tespit etmeyi amaçladıkları tehditleri yakalayıp yakalamadığını bilmeleri gerekiyor. Hiçbir makine öğrenimi modeli mükemmel değildir, ancak doğru odaklanmayla savunmacılar için inanılmaz derecede güçlü bir silah olabilirler.
Şirketlerin yüzde 92’sinin siber güvenliği artırmak için yapay zeka ve makine öğrenimi kullandığı veya kullanmayı planladığı göz önüne alındığında, satıcıların güvenliği artıran çığır açan ürünler yaratması için önemli bir fırsat var. Satıcılar, yukarıda özetlenen ilkeleri uygulayarak yapay zeka destekli güvenlik tekliflerini en üst düzeye çıkarabilir ve müşterilerine her zamankinden daha fazla değer katabilir.
yazar hakkında
Kevin Kennedy, Vectra AI’da ürünlerden sorumlu kıdemli başkan yardımcısıdır. Kevin, teknoloji ürün yönetimi alanında 27 yıldan fazla ve bu yılların yarısından fazlasını güvenlik alanında geçirerek bunların hepsini gördü. Tehdit Intel’i, Şifreleme ve Güvenli Web Ağ Geçitlerinden İçerik, E-posta, Güvenlik Duvarı ve Ağ güvenliğine kadar, bugün Vectra için Tehdit Tespiti ve Yanıt ürün vizyonu ve stratejisine liderlik ediyoruz. Statükoya meydan okumaktan korkmayan ancak güvenlik ekiplerinin karşılaştığı zorluklara saygılı olan Kevin, ürüne sağlıklı dozda bir empatiyle yaklaşıyor, çözülmesi gereken soruna sadık kalıyor ve yenilik ile pratikliği etkili bir şekilde dengeliyor. Kevin, Vectra’dan önce kariyerine IronPort’ta tehdit istihbaratı alanında başladı. Juniper, Cisco ve Agari Data’daki görevleriyle güvenlik ürünü yönetimi becerilerini geliştirmeye devam etti. Kevin, Michigan Üniversitesi’nden bilgisayar mühendisliği alanında BSE ile mezun olurken, mısır ve maviden kan akıtıyor.
Kevin’e https://www.linkedin.com/in/kevinkennedysf/ adresinden ve Vectra AI şirketinin web sitesinden https://www.vectra.ai/ adresinden ulaşılabilir.