Siber güvenlik dünyasında insan uzmanlığının mı yoksa makine uzmanlığının mı kullanılacağı konusunda bir tartışma var. Ancak bu yanlış bir ikilemdir: Gerçekten etkili tehdit tespiti ve müdahalesi, birlikte çalışan her iki tür uzmanlığa ihtiyaç duyar.
Tipik algılama ve müdahale görevlerini yerine getiren insanların yerini makinelerin tamamen alması yıllar alacak. Bu arada tahmin ettiğimiz şey, insanlarla makineler arasında simbiyotik bir ilişki. Kombinasyon, tehditlerin algılanmasının ve bunlara yanıt verilmesinin daha hızlı ve daha akıllı olabileceği anlamına gelir. Yapay zeka (AI) makine işleme için daha uygun görevlerde parlarken, insanları insanların en iyi yaptığı şeye odaklanmaya bırakır.
Tehdit algılama, çok fazla düşmanca bir sorundur. Saldırılar, özellikle milyarlarca veri noktası arasında algılamayı zorlaştıran gizliliğe dayanır. Son 20 yıldır güvendiğimiz teknolojiler, tehditlerle mücadele etmek veya “sinyali” bulmak için “gürültüyü” ortadan kaldırmak için yeterli değil. Ancak yetenekli insanlar, kural tabanlı sistemlerin tanımlayamadığı tehditleri bulabilir.
Yeni nesil tehdit tespiti için yapay zekayı kullanan herhangi bir sistemin hem insan hem de makine uzmanlığının gücünden yararlanması ve insan geri bildirimlerine dayanarak öğrenip adapte olabilmesi gerekecektir.
Hedef Mükemmellik Değil, İnsan Performansıdır
Yapay zekanın gerçekten karar veremeyeceğine dair bir yanılgı var ve yeniden üretilemez insan sezgisine sahip çok deneyimli insan uzmanlara ihtiyacımız var.
Buna klasiğin merceğinden bakmak Turing testi, sorduk: Şu anda insanlar tarafından yapılan işin %80’inde bir makine bir güvenlik analistinden daha iyi performans gösterebilir mi? Cevabınız evet ise, güvenlik operasyonları için üretkenlik kazanımlarını ve verimliliği hayal edin.
Burada iyimserlik için bir neden görüyoruz. Kırk yıl önce bir satranç makinesinin bir insanı yenmesi düşünülemezdi, ancak sorun o zamanın yarısında çözüldü. Sadece 10 yıl önce, otomatik ses kaydı zayıftı ve insanlar bu görevde daha iyiydi. Artık makineler de en az insanlar kadar yazı yazabiliyor.
En İyi Sonuç için Ekip Oluşturma
Çoğu şirket, tüm güvenlik uyarılarıyla başa çıkmak için yeterli personeli işe alamaz. Bu yetenek krizine ideal çözüm, güvenlik analistlerine, olay müdahale ekiplerine ve tehdit avcılarına yardımcı olmak için akıllı otomasyon kullanır. Güvenlik otomasyonunu başarılı bir şekilde uygulamanın üç ana yolu vardır:
1. Uyarı triyajı. Milyonlarca uyarıyı ve binlerce olayı, ne olduğu ve neden olduğuyla ilgili bağlamı olan bir avuç eyleme dönüştürülebilir vakaya dönüştürmek, insan işçiler için görevlerin önceliklendirilmesine yardımcı olur.
2. Olay yanıtı. Tekrarlayan görevleri otomatikleştirmek, ortalama algılama süresini (MTTD) ve ortalama yanıt verme süresini (MTTR) azaltır. Bu, insan analistlerini daha önemli tehditlere yanıt verme ve daha etkili, acil kararlar alma konusunda serbest bırakır.
3. Tehdit algılama. Tehdit algılama, uyarılar yerine eylemlere öncelik verirken ağ, farklı uç noktalar ve uygulamalar genelinde yeni tehditleri belirlemeye ve ilişkilendirmeye odaklanan saldırgan bir oyundur. Üçünden, bu aynı zamanda iyileştirilmesi gereken ana alandır: Otomasyonu nasıl uygulayabiliriz? daha fazla Tehdit tespiti için etkili bir şekilde?
Tehdit Algılamayı Otomatikleştirme
İki tür otomasyon vardır. Birincisi, yapay zeka güdümlü bir süreç oluşturmak için basit insan eylemlerini çoğaltmak. Ancak tehdit tespiti, esasen bir karar verme sürecidir.
İkinci tür otomasyon, hangi olayların gerçekten insan güvenliği analistleri tarafından iletilmesi gerektiğini belirlememizi gerektirir. Otomasyon teknolojisinin mevcut kalitesi açıktır – bazı güvenlik operasyonlarında makineler insan hassasiyetini aşmaktadır. Amaç, daha iyi olmasa da insanlar kadar kararlar da veren bir karar motoru oluşturmaktır.
Ancak, makine karar vermenin insan karar alma mekanizmasına eşit olduğuna veya onun yerine geçtiğine nasıl güvenebiliriz? Basit. Verilere bakın!
Otomasyon, bir uyarıyı, bir insan güvenlik analistinin daha sonra herhangi bir artış olmadan kapattığı bir olay olarak işaretleyebilir. Onlara nedenini sorun, analist size düşünce süreçlerinde yol gösterecektir. Bu “nedenler”, faktör dediğimiz şeyin temelidir. Hemen açık olmayan faktörler, nihai kararda önemli bir rol oynayabilir.
Ne kadar çok faktör toplarsak, hem insan hem de makine uzmanlığının doğruluğu o kadar keskin olur. Bu arada, yanlış pozitifleri de azaltabiliriz. İnsan ve makine arasındaki her fark, ek faktörleri ortaya çıkarabilir veya insan analistleri, faktörleri otomatik sistemden farklı şekillerde birleştirebilir.
Karar Motorunu Geliştirme
Kural motoru, yalnızca bir veri havuzunda gözlemlediğimiz “kötü” nitelikleri veya davranışları modellemekle sınırlıdır. Sonuç olarak, yalnızca bu kriterlere giren olayları tanımlayabilir ve bunlara yanıt verebilir. Buna karşılık, bir karar motoru makineye hem “kötü” hem de “iyi” öğretir ve modelin aşamalı olarak öğrenmesini sağlar.
Bir insanın öğrenme yaklaşımını taklit etmek ve onu kopyalamak aynı kararı verir, sadece otomatiktir. Sadece bir dakika içinde yüzlerce karar alınabilir ve çözüm süresi düşer. İnsan analistler, 20 rutin uyarıyı çalıştırmak yerine, zamanlarını ve enerjilerini bir veya iki eyleme dönüştürülebilir vakaya odaklayabilirler.
Triyaj, günde binlerce uyarı sunar. Ancak tehdit avında sorun üç veya dört kat daha büyüktür. Yüz milyonlarca olay, samanlıkta meşhur iğneyi aradığımız anlamına geliyor. Öyleyse, uyarı triyajına uyguladığımız aynı faktör analizi yaklaşımını tehdit avcılığına nasıl uygularız?
Faktörler, özellik mühendisliği ile bu yüz milyonlarca olayın her birine eşlenebilir. Belirli bir faktörü çıkarırsak, dönüşümler uygulayabilir ve faktörün sahip olduğu farklı değerlerin sayısını (boyutluluğunu) azaltabiliriz, bu özellikle 100 veya daha fazla farklı değerle uğraşırken kullanışlıdır.
Bu, her bir faktörü bir puanla eşleştirmemize ve bunları, AI’nın karar vermek için kullanabileceği nihai bir puan için birleştirmemize olanak tanır. Ancak insan analistler ve karar motorları tarafından verilen kararlarda her zaman farklılıklar olacağından, yapay zeka insan geri bildirimlerini kabul edebilmelidir.
Bu, eylem halindeki denetimli algoritmik makine öğrenimidir. İnsanlar etiketleme yoluyla geri bildirim sağlar ve bu girdi sistemi bir model oluşturmak için “eğitir”. Buna uyan görevler için denetimsiz bir sistem kurmak bile mümkündür. Etkili bir şekilde çalışmak için yapay zekanın açıklanabilir, özelleştirilebilir ve uyarlanabilir olması gerekir.
İnsan uzmanlığına sahip bir karar motoru oluşturduğumuzda ve mümkün olan her yerde otomasyonu dahil ettiğimizde, yeni nesil SOC teknolojisi böyle görünecek.