MTTD’niz Harika, Ama Uyarı Sonrası Boşluk Kritik Derecede Yüksek!

Giriş

Kısa süre önce Anthropic, Mythos Preview modelini, her büyük işletim sistemi ve tarayıcıda sıfır gün zafiyetlerini kendi kendine bulup istismar etmesi sonucunda kısıtladı. Bu olay, siber güvenlik alanında savunma mekanizmalarının hızla yetersiz kalabileceğini gösteriyor.

Saldırı Nasıl Çalışıyor?

Palo Alto Networks’ün Wendi Whitmore’u, benzer yeteneklerin birkaç hafta içinde yayılabileceğini uyarıyor. CrowdStrike’un 2026 Küresel Tehdit Raporu, ortalama eCrime patlama süresinin  29 dakika  olduğunu bildiriyor. Mandiant’ın M-Trends 2026 raporu ise düşman geçiş sürelerinin  22 saniyeye  düştüğünü ortaya koyuyor. Bu durum, saldırganların davranışlarının hızlandığını ve savunmada hangi aşamalarda yavaş kalındığını sorgulamayı gerektiriyor.

Post-Uyarı Aralığı

Uyarı yapıldıktan sonra zaman durmuyor. Bir analistin uyarıyı görmesi, değerlendirmesi ve yanıt oluşturması arasında önemli bir zaman kaybı yaşanıyor. Çoğu SOC ortamında bu süreç, saldırganın gerçek faaliyet penceresinin büyük bir kısmını kapsıyor.

• Analist, genellikle başka bir soruşturma üzerinde çalışıyor.
• Uyarı bekleme listesine giriyor.
• Bağlam çeşitli araçlar arasında yayılmış durumda.
• Bir araştırma başlatmak,  20 ile 40 dakika  arasında zaman alabiliyor.

29 dakikalık patlama süresi göz önünde bulundurulduğunda, çoğu zaman araştırma başladığı anda saldırgan ikinci bir hamle yapmış oluyor. MTTD (Mean Time To Detection), yalnızca uyarının ne kadar hızlı tespit edildiğini ölçüyor; fakat bu, post-uyarı dönemindeki süreyi hesaba katmıyor.

Yapay Zeka ile Araştırma Sürecindeki Değişiklikler

Yapay zeka destekli bir araştırma, tespit hızını artırmıyor; fakat post-uyarı zaman dilimini kısaltıyor. Gelen her uyarı, önem derecesine bakılmaksızın anında inceleniyor.  15 dakika  süren bağlam toplama işlemi, saniyeler içinde tamamlanabiliyor. Bu,  Prophet AI ‘nin sağladığı bir avantaj; her uyarıyı üst düzey bir analistin derinliğiyle makine hızıyla araştırıyor.

Etkilenen Sistemler

Aşağıdaki sistemler, bu tehditlerden etkilenme potansiyeline sahiptir:

• Windows işletim sistemleri
• Linux dağıtımları
• MacOS
• Popüler web tarayıcıları

Çözüm ve Korunma

Takip edilmesi gereken dört temel metrik bulunmaktadır:

1. İnceleme kapsam oranı: Toplam uyarıların kaç tanesinin tam olarak incelendiği. Geleneksel SOC’lerde bu oran genellikle %5 ile %15 arasındadır; AI destekli SOC’lerde %100 olmalıdır.
2. Tespit yüzeyi kapsamı: MITRE ATT&CK tekniklerinin tespit kütükanızla eşleştirilmesi.
3. Yanlış pozitif geri bildirim hızı: İnceleme sonuçlarının tespit ayarlamalarına ne kadar hızlı döndüğü.
4. Av odaklı tespit oluşturma oranı: Proaktif avlanma bulgularından kaç tane kalıcı tespit oluşturulduğu.

Siber güvenlik ekibinizin performansını değerlendirmek için yukarıdaki metrikleri dikkatlice izlemelisiniz.

Sonuç

Okuyuculara önerim, sistemlerinizi düzenli olarak güncellemeniz ve gerekiyorsa port kapatmanızdır. AI ve otomasyonun savunma mekanizmalarınızı güçlendirdiği günümüzde, post-uyarı araştırma boşluğunu kapatmak kritik önem taşıyor. Tespit hızını raporlamaktan ziyade, araştırma kapsamı ve tespit iyileştirmelerine odaklanmalısınız.