Güvenlik liderleri, yeni yapay zeka destekli siber güvenlik araçlarının bir güvenlik operasyon merkezine (SOC) gerçekte ne kadar fayda sağlayabileceğini anlamaya çalışırken zor bir durumda. Üretken yapay zeka hakkındaki abartılı reklam hâlâ her yerde, ancak güvenlik ekiplerinin gerçekte yaşaması gerekiyor. Uç nokta güvenlik platformlarından, SIEM araçlarından ve dahili kullanıcılar tarafından bildirilen kimlik avı e-postalarından sürekli olarak gelen uyarılarla karşı karşıya kalıyorlar. Güvenlik ekipleri de ciddi bir yetenek sıkıntısıyla karşı karşıya.
Bu kılavuzda kuruluşların daha fazla süreçlerini otomatikleştirmek ve daha fazlasını oluşturmak için atabilecekleri pratik adımları ortaya koyacağız. özerk bir SOC stratejisi. Bu, yapay zeka ve makine öğrenimini çeşitli tekniklerle kullanarak, güvenlik ekiplerindeki akut yetenek eksikliğini gidermelidir; bu sistemler, insan analistlerinin karar verme ve araştırma süreçlerini simüle etmelidir.
Öncelikle otonom bir SOC stratejisinin hedeflerini tanımlayacağız ve ardından otomatikleştirilebilecek temel süreçleri ele alacağız. Daha sonra farklı yapay zeka ve otomasyon ürünlerini ele alacağız ve son olarak bu araçların otonom bir SOC stratejisinin parçası olarak nasıl kullanılabileceğine dair birkaç örneğe bakacağız.
Otonom SOC Stratejisinin Amacı
Otonom SOC stratejisinin amacı, uyarı önceliklendirmesinin her adımını baştan sona otomatikleştirmek, bağımsız olarak araştırma, önceliklendirme ve çözümleme yoluyla riski azaltmaktır. Herhangi bir insan müdahalesi olmadan mümkün olduğu kadar çok uyarı.
Burada beklentileri belirlemek önemlidir; otonom bir SOC stratejisinin hedefi, güvenlik ekibindeki her insanı yapay zeka teknolojisiyle değiştirmek olmamalıdır. Çok yönlü herhangi bir siber güvenlik stratejisi gibi, sonuç olarak, “insanları, süreçleri ve teknolojiyi” birleştirerek organizasyonu korumakla ilgilidir. Hiçbir makul güvenlik uzmanı, insanları bu denklemden çıkarabileceğimizi düşünmez.
Ekibinizin kapasitesini ve becerilerini genişleten, Kademe 1 veya 2 analistlerden oluşan ekstra bir ekip gibi çalışan özerk bir SOC’yi düşünebilirsiniz. Sistem, insan analistlere yönelik kritik tehditleri artıracak şekilde tasarlanmalıdır. Otonom bir SOC için çalışıyorum insanlarSüreçlerinize uygun teknolojiyi kullanarak işinizi kolaylaştırır, yeteneklerinizi genişletiriz.
Otomatikleştirilecek 6 Temel SOC Süreci
İlk olarak, her SOC’nin farklı olduğunu kabul etmeliyiz (sonraki bölümde otomasyon araçları hakkında konuşacağız). ekibinizi bunaltın. Tekrarlayan ve zaman alan manuel görevler, otomasyon için dikkate alınması gereken önemli fırsatlardır.
Burada 6 temel SOC sürecine bakacağız; bunlar Otonom SOC diyeceğimiz şeyin ana hatlarını çizecek:
- Monitör – Autonomous SOC, entegre güvenlik araçlarınızdan 7/24 uyarıları sürekli olarak izleyip toplayarak hiçbir potansiyel tehdidin gözden kaçmamasını sağlar.
- Kanıt Toplayın – Gelen bir uyarı alındığında Otonom SOC, uyarıyla ilişkili tüm ilgili verileri toplar. Buna dosyalar, süreçler, komut satırları, süreç bağımsız değişkenlerinden elde edilen kanıtlar, URL’ler, IP’ler, ana ve alt süreçler, bellek görüntüleri ve daha fazlası dahildir.
- Araştırmak – Otonom SOC, toplanan her kanıt parçasını yapay zeka ve çeşitli karmaşık teknikler kullanarak analiz eder. Buna korumalı alan oluşturma, genetik kod analizi, statik analiz, açık kaynak zekası (OSINT), bellek analizi ve tersine mühendislik dahildir. Bu bireysel analizlerin sonuçları daha sonra üretken yapay zeka modelleri kullanılarak olay çapında tutarlı bir değerlendirme halinde özetlenir.
- Triyaj – Otonom SOC, her uyarıyla ilişkili riski kategorilere ayırır ve araştırma sonuçlarına göre riskin üst kademeye yükseltilip yükseltilmeyeceğine karar verir. Ek olarak Otonom SOC, başka bir işlem gerektirmediği için algılama sistemlerindeki yanlış pozitifleri otomatik olarak düzelterek gürültüyü azaltır.
- Yanıtlamak – Ciddi tehditler anında analistlere iletilir. Onaylanan tüm tehditler için Autonomous SOC, vaka yönetimi sisteminde değerlendirmeler, öneriler ve bildirim oluşturma sağlar. Bunlar, müdahale sürecini yönlendirecek tespit içeriğini ve kullanıma hazır arama kurallarını içerir.
- Rapor – Otonom SOC, ekibinizi bilgilendirmek ve ayarlama önerileri sunmak için raporlar oluşturarak güvenlik operasyonlarınızda sürekli iyileştirmeye olanak tanır.
Bu adımlar, uyarıları “bağımsız” bir şekilde elemek ve yalnızca gerçekten insan analizi gerektiren uyarıları iletmek için teknolojiyi kullanır. Bu, yüksek hacimli uyarıların etkili bir şekilde yönetilmesine yardımcı olur ve yanlış pozitiflere harcanan zamanı büyük ölçüde azaltır.
Otonom SOC’nizi Oluşturmak için SOC Otomasyon Araçları
Pratik düzeyde, stratejinizi yürütmek için doğru araçlara ihtiyacınız var. Adım adım bir uygulama planı tasarlamak için sistemlerinize entegre edebileceğiniz bazı temel araçlara bakalım.
- SOAR ürünleri: Bu, birçok SOC ekibinin Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) araçlarını kullanarak görevleri otomatikleştirdiği yerleşik bir ürün kategorisidir. SOAR’ın genellikle ağır mühendislik veya karmaşık oyun kitapları oluşturmayı içermesi nedeniyle zorlukları vardır. Bazı SOAR’lar yakın zamanda yapay zekayı entegre etti veya önceden oluşturulmuş taktikler ve bazı süreçlerin otomatikleştirilmesini kolaylaştıran kodsuz araçlar sunuyor.
- Otonom SOC ürünleri: Bu, uyarıları almak, araştırmak ve önceliklendirmek için yerel otomatik iş akışlarını ve yapay zekayı kullanan daha yeni bir ürün kategorisidir. Bu kategorideki en yeni girişimler, üretken yapay zekaya dayalı teknolojiyi kullanarak 2023 veya 2024’te faaliyete geçti. Daha olgun Autonomous SOC ürünleri, entegre üretken yapay zekaya sahiptir ve bunu kullanarak genetik analiz veya makine öğrenimi gibi temel teknolojileri tamamlar.
- Yapay Zeka Yardımcı Pilot ürünleri: Bu, 2023’te ortaya çıkan en yeni kategoridir. Yeni “yardımcı pilot” araçları, analistlere yardımcı olmak için üretken yapay zekayı kullanabilir, böylece bir soruşturma sırasında yanıt almak üzere sistemleri kolayca sorgulayabilirler. Bunlar potansiyel olarak diğer araçlarla entegre olabilir, olaylara müdahaleyi hızlandırabilir veya otonom olarak harekete geçebilir, ancak bu yapay zeka asistanlarının ne kadar etkili veya popüler olacağı açık değil.
Farklı ortamlar farklı araçlar gerektirir, ancak araçların konuşlandırılmasının kolaylaştığı ve birlikte iyi sonuç veren araçları seçmenin mümkün olduğu bir noktadayız. Kullanılan güvenlik ürünleri, SOC otomasyon araçlarıyla entegrasyonu desteklemelidir. Her türlü uyarı için inceleme ve uyarı önceliklendirme süreçlerini otomatikleştirme.
Üç Farklı Otonom SOC Stratejisi Örneği
Her güvenlik ekibinin ve kuruluşun farklı ihtiyaçları olduğundan, özerk bir SOC stratejisi uyarlanabilir olmalıdır. Burada, farklı türdeki güvenlik ekiplerinin veya kuruluşlarının otonom bir SOC stratejisini nasıl uygulayabileceğini gösteren birkaç otonom SOC stratejisi örneğimiz var.
Örnek 1
Şu senaryoyu ele alalım: Bir SOC ekibinin zaten bir miktar otomasyon sağlayan bir SOAR’ı var, ancak uyarı önceliklendirmesine yönelik iş akışları tamamen otomatik değil. Triyaj, soruşturmalar ve müdahale, dış kaynaklı yönetilen bir güvenlik hizmeti sağlayıcısının yardımıyla SOC analistlerinden oluşan küçük bir dahili ekip tarafından gerçekleştirilir. Hâlâ çok sayıda manuel görev yapıyorlar, çok fazla yanlış pozitif sonuç veriyorlar ve ortalama yanıt verme sürelerini kısaltmak istiyorlar. Daha karmaşık olay müdahale taktik kitapları oluşturup bunların bakımını yaparak daha fazla süreci otomatikleştirmek istemiyorlar. Kullanmaya karar verdiler özerk bir SOC platformu tespit araçlarıyla entegre olabilir.
Yukarıdaki çizimde, bu ekibin stratejisinin önemli bir parçası olacak otonom SOC ürünü tarafından otomatikleştirilen süreçleri görebiliyoruz.
Bu uyarıları izlemek ve önceliklendirmek için bunu uç nokta güvenlik ürünleriyle entegre ederek başlıyorlar. Sonuçları test ediyorlar ve SOAR’larını artan uyarılar ve vaka yönetimi için kullanarak uç nokta uyarıları için otonom SOC sistemlerine güven oluşturuyorlar. Bu sistemle uç nokta uyarılarına yönelik önceliklendirme süreleri ortalama 2 dakikanın altındadır. Analistler otonom SOC sürecinin etkili bir şekilde uygulandığından emin olduktan sonra ekip, kullanıcı tarafından bildirilen kimlik avı e-postalarını almak ve önceliklendirmek için otonom SOC ürününü entegre eder ve SIEM uyarıları.
Örnek #2
Şimdi bir SOC ekibine bakalım. Yönetilen Tespit ve Yanıt sağlayıcısı. Bu MDR ekibi, yapay zeka odaklı bir stratejiyi benimsemeyi, müşteri hizmetlerini geliştirmek ve geliri artırmak için bir rekabet avantajı olarak görüyor. Tespit ve yanıt için birçok farklı araç kullanan birçok müşteriden gelen uyarıları izlemeleri ve önceliklendirmeleri gerekiyor.
Müşterilerinin herhangi bir aracıyla entegre olabilen otonom bir SOC ürününün kullanılmasını içeren otonom bir SOC stratejisi uygulamaya karar verdiler. Bu, birden fazla istemci ortamından gelen her uyarıyı verimli bir şekilde izlemelerine, araştırmalarına ve önceliklendirmelerine olanak tanıyacak ve yapay zeka ve otomasyon tarafından yönlendirilen hızlı önceliklendirme süreleri sağlayacak. MSSP ekibi, yapay zeka ve otomasyonla yeteneklerini genişleterek, ek analistleri işe alma ve işe alma zorlukları olmadan, ek istemcileri bünyesine katabilir ve daha yüksek uyarı hacimlerini yönetebilir. Otonom SOC ürününü uyguladıktan sonra, kullanıcı tarafından bildirilen kimlik avı e-postalarının kapsamı gibi yeni hizmetler sağlayarak müşteri tekliflerini de genişletebilirler.
Örnek #3
Şimdi yerleşik bir otonom SOC stratejisine sahip örnek bir SOC ekibini hayal edelim. Autonomous SOC ürünü, entegre tespit sistemlerinden gelen uyarıları araştırır ve önceliklendirir; SOAR ise üst kademeye iletme ve vaka yönetimi için kullanılır. Bu araçlar tamamen uygulandıktan sonra ekip, güvenlik ekibinin daha fazla bilgi sorgulamasına yardımcı olmak için bir yapay zeka yardımcı pilotu ekler.
Bu, bu araçların bir SOC’nin farklı bölümlerine nasıl sığabileceğini göstermeye yardımcı olur, ancak yapay zeka yardımcı pilotları gibi araçlar çok yeni olduğundan ve henüz çok az ekip bunları etkili bir şekilde kullandığından bu daha az gerçekçidir.
Otonom SOC Ürünlerinin 3 Faydası
Uyarı izleme, inceleme ve önceliklendirme süreçleri birçok SOC ekibi için otomasyona yönelik önemli fırsatlardır. Uyarı önceliklendirme süreçleri bir dizi tekrarlayan ve zaman alıcı görevler içerdiğinden, bu iş yükünün otonom bir SOC ürünüyle düzenlenmesi analistlerin daha etkili ve verimli olmasını sağlar.
Otonom SOC ürünleri, özellikle dağıtımı ve diğer güvenlik araçlarıyla entegrasyonu kolay olacak şekilde tasarlandıkları için ilgi çekici bir seçenek sunar. Ekiplerin yüksek hacimli uyarıların yanı sıra yetenek eksikliklerinden kaynaklanan zorlukların üstesinden gelmesine yardımcı olabilirler.
Bu özel ürünler üç önemli fayda sağlar:
- Entegre uyarı kaynaklarından alınan her yapay yapının ve uyarının kapsamlı bir şekilde araştırılmasını ve etkin bir şekilde önceliklendirilmesini sağlayarak riski azaltın.
- Karar vermek ve belirli uyarı türlerini çözmek için yapay zeka otomasyonunu kullanarak uyarıları önceliklendirerek analistlerin gerçek tehditlere odaklanmasını ve uyarı yorgunluğunu önlemesini sağlayın.
- Otonom SOC süreçleri aracılığıyla en kritik uyarıları ileterek önemli bilgiler sağlayın ve analistlerin ciddi olaylara müdahaleyi önceliklendirmesine olanak tanıyın.
Sonuçta yapay zeka ve otomasyon, birleşik ve otomatik bir önceliklendirme deneyimi sağlamak, araştırmaları geliştirmek, analistleri desteklemek ve yanıt sürelerini hızlandırmak için veri kaynaklarını entegre edebilir. Otonom bir SOC stratejisi, güvenlik ekibinizi desteklemek ve yeteneklerini genişletmek için bu ileri teknolojileri kullanacak şekilde tasarlanmalıdır.
İntezer Hakkında
Intezer, otonom güvenlik operasyonları için yapay zeka destekli teknolojinin lider sağlayıcısıdır. Yeniliğe ve kaliteye odaklanarak, Otonom SOC Platformu olayları araştırmak, önceliklendirme kararları vermek ve uzman bir Kademe 1 SOC analisti gibi ciddi tehditlerle ilgili bulguları iletmek için tasarlanmıştır (ancak tükenmişlik, beceri boşlukları ve uyarı yorgunluğu olmadan).
Intezer’in müşterileri arasında Adobe ve Equifax gibi Fortune 500 şirketleri, orta ölçekli şirketlerin yanı sıra uyarıları önceliklendirmek ve Tier 1 SOC süreçlerini tamamen otomatikleştirmek için Intezer’in Otonom SOC Platformunu kullanan MSSP’ler bulunmaktadır.
2016 yılında Intezer, çok fazla işi olan, çok fazla uyarısı olan ve yeterli sayıda insanı olmayan SOC ekiplerine yardımcı olmak için teknoloji araştırma ve geliştirme misyonuyla kuruldu. Otonom SOC Platformu ilk olarak 2022’de piyasaya sürüldü. Temel teknolojileri, makine öğrenimi, üretken yapay zeka ve özel genetik analizi birleştiren bir Yapay Zeka çerçevesi kullanıyor.