विचार नेता

स्वायत्त घटना प्रतिक्रिया: जहां एआई अकेले कार्य कर सकता है और जहां मानव अभी भी महत्वपूर्ण हैं

mm

आधुनिक सुरक्षा संचालन केंद्रों (SOC) में सुरक्षा डेटा की अधिकता है। समस्या उस डेटा को कार्रवाई में बदलने की है।

एक संदिग्ध लॉगिन एक समझौता किया गया खाता हो सकता है, या एक वैध कर्मचारी जो एक नए स्थान से लॉग इन कर रहा है। मैलवेयर गतिविधि एक झूठी सकारात्मक हो सकती है। एक क्लाउड अलर्ट एक खराब कॉन्फ़िगरेशन हो सकता है।

किसी भी मामले में, विश्लेषकों को यह जानने की आवश्यकता है कि क्या हुआ, कौन सा परिसंपत्ति प्रभावित हुई, जोखिम कितना गंभीर है, और क्या कार्रवाई करने से कुछ महत्वपूर्ण टूट सकता है। यह अक्सर कई उपकरणों के बीच कूदने, लॉग की जांच करने, संकेतकों को समृद्ध करने, समयरेखा बनाने और अनुमोदन की प्रतीक्षा करने का अर्थ है।

एआई इस प्रक्रिया को संकुचित कर सकता है। यह साक्ष्य इकट्ठा कर सकता है, संबंधित घटनाओं को सहसंबंधित कर सकता है, ज्ञात पैटर्न के खिलाफ व्यवहार की तुलना कर सकता है, अलर्ट को खतरे की खुफिया जानकारी से समृद्ध कर सकता है, और कुछ मिनटों या thậm chí सेकंड में एक निष्कर्ष प्रदान कर सकता है। कुछ परिभाषित परिदृश्यों में, यह संग्रहण को ट्रिगर कर सकता है।

स्वायत्त प्रतिक्रिया का वास्तव में क्या अर्थ है

स्वायत्त प्रतिक्रिया में स्पष्ट सीमाएं होनी चाहिए और परिदृश्य-विशिष्ट होना चाहिए।

एक स्वायत्त या एजेंटिक सुरक्षा प्रणाली अलर्ट का मूल्यांकन कर सकती है, आसपास के संदर्भ की जांच कर सकती है, यह निर्धारित कर सकती है कि यह एक ज्ञात प्रतिक्रिया पैटर्न से मेल खाता है या नहीं, और मानव विश्लेषक की प्रतीक्षा किए बिना कार्रवाई कर सकती है। लेकिन उस कार्रवाई को केवल अनुमोदित गार्डरेल के भीतर ही होना चाहिए।

उदाहरणों में शामिल हैं एक समझौता किए गए खाते को अक्षम करना, एक संक्रमित एंडपॉइंट को अलग करना, ज्ञात दुर्भाग्यपूर्ण बुनियादी ढांचे को ब्लॉक करना, जोखिम भरे सत्रों को रद्द करना, और मैलवेयर को पृथक करना। मुख्य बात यह है कि एआई केवल अनुमोदित कार्रवाई को परिभाषित शर्तों के खिलाफ निष्पादित करता है।

स्वायत्तता कहां सबसे अच्छी तरह से काम करती है

स्वायत्तता तब सबसे अच्छी तरह से काम करती है जब चार शर्तें पूरी होती हैं:

  • संकेत उच्च विश्वास है: अलर्ट मजबूत साक्ष्य द्वारा समर्थित है, जैसे कि ज्ञात दुर्भाग्यपूर्ण बुनियादी ढांचा, पुष्ट मैलवेयर व्यवहार, असंभव यात्रा, या कई सहसंबंधित संकेतक।
  • व्यवहार अच्छी तरह से समझा जाता है: संगठन ने पहले इस पैटर्न को देखा है और जानता है कि इसका क्या अर्थ है।
  • कार्रवाई सीमित है: प्रतिक्रिया एक विशिष्ट खाते, एंडपॉइंट, सत्र, डोमेन, या संकेतक को प्रभावित करती है, पूरे व्यावसायिक प्रक्रिया को नहीं।
  • कार्रवाई पूर्ववत की जा सकती है: यदि प्रणाली गलत है, तो संगठन जल्दी से पहुंच बहाल कर सकता है, एंडपॉइंट को पुनः कनेक्ट कर सकता है, या ब्लॉक को हटा सकता है।

एक समझौता किया गया उपयोगकर्ता खाता एक अच्छा उदाहरण है।

यदि एक पहचान प्रणाली असंभव यात्रा, संदिग्ध मेलबॉक्स नियमों, जोखिम भरे ओओथ गतिविधि, और ज्ञात दुर्भाग्यपूर्ण बुनियादी ढांचे से लॉगिन का पता लगाती है, तो हमलावर पहले से ही मानव द्वारा पहली संग्रहण कार्रवाई को मैन्युअल रूप से अनुमोदित करने से पहले नुकसान पहुंचा सकते हैं। एक एआई प्रणाली, हालांकि, सत्रों को रद्द कर सकती है, पासवर्ड रीसेट को मजबूर कर सकती है, अस्थायी रूप से खाते को अक्षम कर सकती है, और विश्लेषक समीक्षा के लिए एक मामला बना सकती है।

एक संक्रमित एंडपॉइंट एक और अच्छा फिट है। यदि एंडपॉइंट टूलिंग एक गैर-महत्वपूर्ण डिवाइस पर ज्ञात मैलवेयर व्यवहार की पुष्टि करती है, तो अलगाव लेटरल आंदोलन को रोक सकता है जबकि साक्ष्य को संरक्षित करता है।

मानव अभी भी कहां महत्वपूर्ण हैं

हालांकि, मानव पर्यवेक्षण – विशेष रूप से अस्पष्ट घटनाओं, उच्च-प्रभाव वाले निर्णयों और मामलों में जहां व्यावसायिक प्रभाव स्पष्ट नहीं है – अभी भी आवश्यक है।

एक कर्मचारी लैपटॉप को अलग करना कम जोखिम वाला हो सकता है। एक भुगतान सर्वर, निर्माण प्रणाली, स्वास्थ्य सेवा डिवाइस, या ग्राहक-सामना वाले अनुप्रयोग को अलग करना नहीं है। एक ठेकेदार खाते को अक्षम करना सीधा हो सकता है। एक विशेषाधिकार प्राप्त सेवा खाते को अक्षम करना जो उत्पादन प्रणालियों से जुड़ा हुआ है, गंभीर व्यवधान पैदा कर सकता है।

साधारण शब्दों में, संभावित प्रभाव जितना अधिक होगा, मानव पर्यवेक्षण उतना ही अधिक महत्वपूर्ण हो जाएगा।

यह सिद्धांत दो अप्रिय परिणामों को रोकता है। पहला: अंडर-ऑटोमेशन, जहां टीमें स्पष्ट संग्रहण कार्रवाई को मंजूरी देने में समय बर्बाद करती हैं। दूसरा: ओवर-ऑटोमेशन, जहां प्रणालियों को पर्याप्त संदर्भ या नियंत्रण के बिना व्यापक परिवर्तन करने की अनुमति दी जाती है।

एआई ट्राइएज से अधिक को स्वचालित कर सकता है

ज्यादातर लोग एआई-सहायता प्राप्त अलर्ट ट्राइएज के साथ परिचित हैं, लेकिन मानते हैं कि जांच अभी भी एक मानव कार्य है। लेकिन यह बदलना शुरू हो रहा है।

कई जांच पुनरावृत्ति योग्य चरणों का पालन करती हैं। विश्लेषक लॉग एकत्र करते हैं, एंडपॉइंट व्यवहार की समीक्षा करते हैं, उपयोगकर्ता गतिविधि की जांच करते हैं, संकेतकों को समृद्ध करते हैं, घटनाओं की तुलना खतरे की खुफिया जानकारी के खिलाफ करते हैं, दायरे का मूल्यांकन करते हैं, और एक निष्कर्ष लिखते हैं। एक एआई एसओसी विश्लेषक अब उस काम का अधिकांश हिस्सा तेजी से और लगातार कर सकता है।

यह विश्लेषक की भूमिका को बदलता है, लेकिन इसे पूरी तरह से हटा नहीं देता है। अलर्ट के लिए साक्ष्य को मैन्युअल रूप से इकट्ठा करने के बजाय, विश्लेषक एआई-उत्पन्न निष्कर्षों की समीक्षा करते हैं, अपवादों की जांच करते हैं, संवेदनशीलता को ट्यून करते हैं, खतरों की खोज करते हैं, और जटिल या उच्च-प्रभाव वाले मामलों पर निर्णय लेते हैं।

यह महत्वपूर्ण है क्योंकि अधिकांश एसओसी प्रत्येक अलर्ट की गहराई से जांच नहीं कर सकते हैं। आईबीएम के 2025 ब्रीच शोध में पाया गया कि एआई और स्वचालन का व्यापक उपयोग उल्लंघन की लागत को 1.9 मिलियन डॉलर से कम कर देता है और उल्लंघन चक्र को लगभग 80 दिनों तक कम कर देता है। एआई की अनुमति देता है टीमें बिना मानव सिर गिनती या बड़े ठेकेदार टीमों पर निर्भर हुए जांच की आधार रेखा की गुणवत्ता को बढ़ाने के लिए।

गोद लेना एक तकनीकी और विश्वास चिंता दोनों है

सुरक्षा नेता एसओसी में एआई के बारे में सावधानी बरतने के लिए सही हैं। गलत स्वचालित कार्रवाई उपयोगकर्ताओं को बाहर कर सकती है, प्रणालियों में खलल डाल सकती है, या एसओसी में विश्वास को कम कर सकती है। यहां तक कि जब एआई सटीक होता है, तो टीमें हिचकिचा सकती हैं यदि वे यह नहीं देख सकती कि निर्णय क्यों लिया गया था।

इसलिए प्रभावी स्वायत्तता के लिए सुरक्षा उपायों की आवश्यकता है:

  • स्पष्ट कार्रवाई सीमाएं
  • संवेदनशील प्रणालियों के लिए मानव अनुमोदन
  • प्रत्येक निर्णय के लिए ऑडिट लॉग
  • पूर्ववत संग्रहण कार्रवाई
  • विश्वास सीमाएं
  • रोलबैक प्रक्रियाएं

अधिकांश टीमें अवलोकन मोड में शुरू करनी चाहिए। एआई को जांच करने, अनुशंसा करने और मानव द्वारा अनुमोदित कार्रवाई के लिए दस्तावेजीकरण करने दें। एक बार प्रणाली विशिष्ट परिदृश्यों में विश्वसनीय साबित हो जाने के बाद, उन परिदृश्यों को अनुमोदन-आधारित स्वचालन में स्थानांतरित किया जा सकता है, फिर जहां उपयुक्त हो वहां पूर्ण स्वायत्तता में स्थानांतरित किया जा सकता है। विश्वास बार-बार, नियंत्रित सफलता से कमाया जाता है।

सुरक्षा नेताओं को क्या पुनः विचार करना चाहिए

एआई घटना प्रतिक्रिया में होना चाहिए। प्रश्न यह है कि यह कहां कार्रवाई करने की अनुमति दी जानी चाहिए।

उन प्रतिक्रिया परिदृश्यों से शुरू करें जो बार-बार होते हैं, समय-संवेदनशील होते हैं, अच्छी तरह से समझे जाते हैं, मजबूत संकेतों द्वारा समर्थित होते हैं, और पूर्ववत होते हैं। फ़िशिंग जांच, संदिग्ध खाता संग्रहण, मैलवेयर अलगाव, और दुर्भाग्यपूर्ण डोमेन ब्लॉकिंग तार्किक उम्मीदवार हैं।

लक्ष्य एसओसी से दोहरावदार निर्णय खींच को समाप्त करना है, न कि पूरी तरह से मानव को समाप्त करना। एआई परिभाषित परिदृश्यों में मान्य, निर्णय, और कार्य कर सकता है। मानव को सीमाओं को नियंत्रित करना चाहिए, अस्पष्टता को संभालना चाहिए, और परिणाम के लिए जिम्मेदार रहना चाहिए।

व्यक्तिगत डेटा गोपनीयता और इसके पीछे की तकनीक में एक उत्साही विश्वासी, कैटरीना थॉम्पसन एक फ्रीलांस लेखक हैं जो एन्क्रिप्शन, डेटा गोपनीयता कानून, और सूचना प्रौद्योगिकी और मानवाधिकारों के बीच के संगम में झुक रहे हैं। उन्होंने बोरा, वेनफी, ट्रिपवायर, और कई अन्य साइटों के लिए लिखा है।