Yapay zekanın (AI) ve makine öğreniminin (ML) gelişen yetenekleri giderek ilgi çektiğinden, BT güvenliğine nasıl fayda sağlayabileceklerine dikkat çekiliyor. Hem satıcılar hem de müşteriler, teknolojilerin savunmaları güçlendirebileceği ve saldırıları engelleyebileceği yolları inceliyorlar.
Bir güvenlik uzmanı için AI ve ML’ye olan ihtiyaç oldukça güçlüdür. Uzmanlar, tehditleri tespit etme ve kötü niyetli davranışları işaretleme görevini otomatikleştirmenin yollarını arıyorlar. Manuel yöntemlerden uzaklaşmak aynı zamanda diğer görevlere odaklanmak için zaman ve kaynak tasarrufu sağlıyor.
Bu otomatikleşme dürtüsü, birçok mevcut güvenlik izleme aracı tarafından oluşturulan çok sayıdaki yanlış pozitif raporla daha da artıyor. Ekipler, analiz edilecek aktiviteye ayak uydurmakta ya da karmaşanın ortasında ortaya çıkan tehditleri tanımlayamadıklarını tespit ediyorlar.
Yapay zeka ve makine öğreniminin gücü
Tehditleri tanımlama, tespit etme gibi konularda AI ve ML gerçek değerleri bulabiliyor. ML, belirli model türlerini tanıma ve tahmin etme konusunda insanların sunabileceğinden çok daha iyi yetenekler sunuyor. Bu yeni araçlar, bilinen örüntüler hakkında bilgi gerektiren kural tabanlı yaklaşımların ötesine de geçebiliyor. Bir BT altyapısındaki tipik etkinlik kalıplarını öğrenebiliyor ve bir saldırıyı işaretleyebilecek olağandışı sapmaları tespit edebiliyor.
Bununla birlikte, AI ve ML gibi modern araçlar, bir CISO’nun siber destek altyapısı cephaneliğini destekleyebilse de kuruluşlar, yine de bir sorunun yanlış bir pozitif olup olmadığına karar vermek, etkilenen ekiple iletişim kurmak ve diğer kuruluşlarla eylemleri koordine etmek gibi alanlarda olaylara yanıt vermek ve olaylardan kurtulmak için insan desteğine ihtiyaç duyuyor.
Günümüzün güvenlik ürünleri, Güvenlik Operasyonları Merkezi’ni (SOC) tamamen otomatik hale getiremez ve güvenlik analistlerine, olaylara müdahale edenlere ve diğer SOC personeline olan ihtiyacı tamamen ortadan kaldıramaz ancak teknoloji, insan müdahalelerine olan ihtiyacı azaltmak için bazı süreçleri kolaylaştırabilir ve otomatikleştirebilir.
Makine öğrenimi, bir kuruluşun altyapı güvenliğini artırmak için çeşitli yollar sunar:
- Ortaya çıkan tehditleri tanımak için anormal aktivitenin değerlendirildiği tehdit tahmini ve tespiti
- Kullanıcı etkinliğinin, varlık içeriğinin ve yapılandırmalarının, ağ bağlantılarının ve diğer varlık özelliklerinin izlenmesini ve analizini içeren risk yönetimi
- Bir kuruluşun varlıkları ve zayıf noktaların nerede olabileceği hakkında öğrenilen bilgileri kullanarak güvenlik açığı bilgilerine öncelik verme
- Tehdit istihbaratı beslemesindeki bilgilerin kaliteyi artırmak için gözden geçirildiği tehdit istihbaratı iyileştirmesi
- Sonraki adımları belirlemek ve en uygun yanıtı düzenlemek için olay ve olaylarla ilgili bilgilerin gözden geçirilmesini ve analiz edilmesini içeren olay ve olay araştırması/yanıtı
Yapay zeka ve UEBA
Bu yeni teknolojilerin güvenlik ekiplerine yardımcı olabileceği bir diğer alan da kullanıcı ve varlık davranışı analizidir (UEBA). Kullanıcı ve varlık temelli tehditler giderek artan bir endişe kaynağıdır ve yeni yaklaşımlar gerekmektedir.
Amerikan telekomünikasyon şirketi Verizon’ın yakın tarihli bir Veri İhlali Olayı Raporu’na göre, onaylanan veri ihlallerinin %63’ü çalıntı kimlik erişim bilgilerini kullanarak meşru kullanıcı gibi hareket eden saldırganları veya erişimini kötüye kullanan meşru kullanıcıları içeriyor. Bununla birlikte, içeriden öğrenen tehditleri tespit etmek için, güvenlik araçlarının öncelikle kullanıcı davranışını anlayabilmesi ve temelini alabilmesi gerekir ve bu noktada ML gerçek değer sağlayabilir. Bir UEBA çözümü, temel davranışlar ve kalıplar oluşturarak daha sonra istatistiksel modelleri, ML algoritmalarını ve kuralları birleştirip anormallikleri tespit ederek gelen işlemleri mevcut temel profil ile karşılaştırabilir. Böylelikle potansiyel tehditler daha fazla inceleme ve işlem için işaretlenebilir.
AI’ın UEBA’ya yardımcı olabileceği belirli alanlar ise şunlardır:
- Hesap ihlali: Yapay zeka destekli araçlar, bir saldırı korsanının, kullanılan saldırı vektöründen veya kötü amaçlı yazılımdan bağımsız olarak bir ağ kullanıcısının kimlik bilgilerine erişip erişmediğini algılayabilir
- İçeriden gelen tehditler: Araçlar, temel kullanıcı davranışı oluşturarak, bu temel çizginin dışına çıkan olağandışı, yüksek riskli etkinlikleri tespit edebilir ve işaretleyebilir
- Ayrıcalıklı hesabı kötüye kullanma: AI destekli bir UEBA çözümü, güvenliği ihlal edilmiş kimlik bilgilerini ve bu ayrıcalıklı verileri içeren sistemlere yanal hareketi algılayarak, hassas bilgilere erişimi olan ayrıcalıklı kullanıcılara yönelik belirli saldırıları belirleyebilir
BT güvenliğinde sürekli iyileştirmeler
AI ve ML teknolojilerinin, siber güvenlik tehditlerine karşı korunmak ve bunlara yanıt vermek için daha güçlü çözümler arayan güvenlik ekiplerine sunacak çok avantajı var. Bununla birlikte, teknolojinin sunduğu her şeye ulaşmak için güvenlik ekiplerinin atılması gereken bazı önemli adımlara dikkat etmeleri gerekecektir:
- ML destekli araçlara kuruluş genelinde güvenlikle ilgili tüm olayları gösteren yüksek kaliteli, zengin yapılandırılmış verilere gerçek zamanlı erişim sağlama
- Gözlenen her faaliyetin ve tespit edilen anormalliğin anlamını ve önemini anlamak için gerekli bağlamsal bilgilerle araçları beslemek
- Araçları, hangi faaliyetlerin iyi ve hangilerinin kötü olduğunu eğitmek için kapsamlı, yüksek kaliteli eğitim verileriyle denetimli öğrenmenin gerçekleştirilmesi
İyi dağıtılan ve yönetilen AI ve ML destekli araçlar, güvenlik ekipleri için önemli destek ve yardım iyileştirmeleri sunacaktır. Gizli tehditleri tespit edecek ve yanlış pozitifleri en aza indirecek, olay müdahalesini hızlandıracak ve Güvenlik Operasyon Merkezi’nin (SOC) çalışmasını kolaylaştıracak, böylece maliyetleri azaltacak ve tehditleri verimli bir şekilde iyileştirilecektir.
AI ve ML’in evrimi daha yeni başladı ve yetenekleri önümüzdeki yıllarda hızlanmaya devam edecek. Bu teknolojilerin yeteneklerini ve tam olarak kuruluşunuza nasıl değer katabileceğini anlamak için vakit ayırmaya değer.