Yapay zeka (AI), SecOps ekiplerinin verimliliğini ve ölçeğini geliştirmek için kullanılabilir, ancak bazı insan müdahalesine ihtiyaç duymadan tüm siber güvenlik ihtiyaçlarınızı çözmez – en azından bugün değil.
Ticari yapay zeka başarılarının çoğu, iş değeri sağlayan tahmin görevleri için özel olarak ayarlanmış denetimli makine öğrenimi (ML) teknikleriyle ilişkilendirilmiştir. Akıllı ev asistanınız için konuşulan dil anlama ve sürücüsüz arabalar için nesne tanıma gibi bu makine öğrenimi kullanım durumları, karmaşık derin öğrenme modellerini eğitmek için gereken çok miktarda etiketli veri ve hesaplamadan yararlanır. Ayrıca zorlukla değişen sorunları çözmeye odaklanırlar. Bu, derin öğrenme modellerini eğitmek için gereken milyonlarca kötü amaçlı etkinlik örneğine nadiren sahip olduğumuz ve ML kullananlar da dahil olmak üzere en son algılama yeteneklerimizi geride bırakmak için taktiklerini sık sık değiştiren akıllı düşmanlarla karşı karşıya olduğumuz siber güvenliğin aksine.
Ayrıca, kurumsal ortamlarda insan davranışından kaynaklanan dijital egzozu tahmin etmek son derece zordur. Bu sistemlerdeki anormallikler yaygındır ve çok nadiren kötü niyetli tehdit aktörü davranışını temsil eder. Bu nedenle, bir kurumsal ortamın normal davranışı hakkında bilgi edinmek ve olağandışı ancak iyi huylu olaylarda yanlış alarmlar oluşturmadan kötü amaçlı etkinlikler hakkında anlamlı uyarılar oluşturabilmek için denetimsiz anormallik algılamanın kullanılabileceğini beklemek mantıksızdır.
Son olarak, tehdit tespitindeki veri dengesizliğinin derecesi, makine öğrenimi için diğer birçok kullanım örneğinden farklıdır. Bir an için, günde 1 milyar potansiyel olarak güvenlikle ilgili telemetri olayı toplayan orta ve büyük ölçekli bir kuruluş olduğunuzu ve ciddi şekilde araştırmaya değer bir olay bulmayı beklediğinizi hayal edin. Hiç kimse fidye yazılımı piyangosunu kaybetmek ve bir güvenlik olayını kaçırarak itibarını daha da kötüleştirme potansiyeliyle işlerinin durmasını istemez. Bununla birlikte, her olayı kendi başına işleyen ve %99,9 doğru olan bir makine öğrenimi tabanlı tehdit algılayıcısı oluşturursanız, 1 milyon yanlış pozitif denizinde o tek gerçek pozitifi ararsınız. Bu veri dengesizliğini ortadan kaldırmak, önemli bir uzmanlık ve çok yönlü bir algılama stratejisi gerektirir.
Bu zorluklara rağmen, SecOps ekiplerinin operasyonel verimlilik elde etmek için AI/ML’nin teknik gücünden yararlanma yolları vardır. Bunu yaparken aşağıdaki ilkeler dikkate alınmalıdır.
1. Simbiyotik İnsanlar ve Makineler Birlikte Daha İyi Çalışır
ML’yi insan zekasının yerine geçecek bir şey değil, onun tamamlayıcısı olarak düşünün. Karmaşık sistemler bağlamında, özellikle hızlı uyum sağlayan akıllı düşmanlarla mücadele ederken, otomasyon, özünde aktif öğrenme ile en büyük değeri sağlayacaktır. İnsanlar, makine öğrenimi tabanlı sistemlerin sonuçlarını düzenli olarak gözden geçirmeli, geri bildirim sağlamalı, yeni kötü niyetli davranışlara ek örnekler eklemeli, modelleri yeniden ayarlamalı ve sürekli yinelenmelidir. İster siber uzayda ister savaşta olsun, akıllı bir düşmanla yüzleşmek zorunda kalan herkes, ABD Hava Kuvvetleri Albay John Boyd tarafından geliştirilen OODA döngüsüne aşina olmalıdır. Her döngüde alınan otomatikleştirilebilir kararların en iyi içgörüleri kullanmasını sağlamada, bazı döngülerde gerçekleştirilen manuel analizin faydasını optimize etmede ve insandan daha fazla döngüyü işlemeye yardımcı olacak şekilde ölçeklendirmede son derece yararlı olabilecek aktif öğrenme teknikleriyle birçok benzerliği vardır. mümkün.
2. İş İçin Doğru Aracı Seçin
Ekibiniz için AI ile ilgili iyi kararlar almak için bir AI uzmanı olmanıza gerek yok, ancak iş için doğru aracı seçtiğinizden emin olmak için temel bilgiler hakkında makul şekilde bilgilendirilmelisiniz.
İlk olarak, anormal ve kötü niyetli davranışlar arasındaki farkı bilmek önemlidir çünkü bunlar nadiren aynıdır ve tespit söz konusu olduğunda çok farklı teknikler gerektirir. İlkini, etiketlenmiş eğitim verileri gerektirmeyen denetimsiz anomali tespiti ile keşfetmek kolaydır, ancak ikincisi, tipik olarak birçok tarihsel örnek gerektiren denetimli öğrenme gerektirir.
İkinci olarak, yüksek sinyal-gürültü oranına sahip uyarılar, SecOps ekipleri için kritik öneme sahiptir ve %100 doğru olmayacak herhangi bir olasılıklı sistemin aşağı yönlü etkilerini tam olarak anlamanız gerekir.
Son olarak, neredeyse her ML tekniği siber güvenliğe uygulandımayın tarlası gibi işleyen tehdit istihbaratından binlerce imzaya sahip olmak hala önemlidir. Uzman bir güvenlik araştırmacısı ekibi tarafından sürekli olarak ayarlandığında, imzalar, yakın gelecekte her güvenlik programının bir parçası olması gereken bilinen tehditleri algılamak için kritik bir temel sağlar.
3. Yapay Zekayı En Başarılı Olabileceği Yerde Kullanın
Arabalarını sürmek için AI’ya güvenebilecek birçok siber güvenlik uzmanının, AI’nın düzeltici sınırlama eylemleri yürütmesi konusunda şüpheci olması ironiktir. Ne de olsa otomatik eylem, SecOps ekibinizi daha verimli hale getirmenin en iyi yollarından biridir. Otomasyon, yaratıcı insan zihnini, tam da AI’nın tekerlek yuvasında olan, zaman alan operasyonel görevlerde çıkmaza girmekten kurtarır. Makine öğrenimi, özellikle kanıtları bir araya getirebildiğinizde gelişmiş tehditleri tespit etmede faydalıdır ve ayrıca farklı sistemlerden gelebilecek çeşitli dedektörlerden gelen uyarılara öncelik verirken de yararlıdır. AI, şüpheli dosyaları karantinaya alma veya kullanıcıların yeniden kimlik doğrulamasını isteme gibi düşük riskli sınırlama eylemlerini otomatikleştirebilir ve bu da SecOps verimliliğinizi önemli ölçüde artırabilir ve siber riskinizi azaltabilir.
Tüm bunlarla birlikte, AI/ML tek siber güvenlik stratejiniz olamaz – en azından 2022’de değil. Uçsuz bucaksız samanlıklarda önemli iğneler ararken, en etkili strateji hala makine zekasını uzman analistlerin insan sezgileriyle eşleştirmekten geliyor. .