Siber Güvenlik

Uyarı Yorgunluğundan Eylem Odaklı Bilgilere: SOC’da AI Nasıl Değişimi Sağlıyor

mm
Yayınlandı
Güncellendi

Güvenlik operasyon merkezi (SOC), bir kırılma noktasındadır. Analist yanması uzun süredir kritik bir risk oluşturmakta, ancak sorun sadece daha da kötüye gitmektedir. Aslında, Cybersecurity Insiders ve Gurucul tarafından son olarak yapılan bir anket göre, %73’ü analist yanması ve sürekli personel eksikliği çektiğini söyleyen organizasyonlar vardır. Uyarı hacmi artmaktadır, tehditler çoğalmakta ve analistler miras ve parçalı araçları kullanmaya mahkum edilmektedir.

Sadece insanlar tarafından takip edilmesi çok fazla, bu nedenle AI, hızlı bir şekilde bir lüksten stratejik bir gerekliliğe dönüşmektedir.

Bugünün SOC’larındaki Kriz

SOC’daki yanma oranı iyi belgelenmiştir, ancak durum henüz iyileşmedi, bu nedenle yeterli şekilde vurgulanamaz: analistler iplerinin sonundadır. Aşağıdakileri içeren giderek daha kötüleşen zorluklarla boğuşuyorlar:

  • Uyarı yorgunluğu – Uyarılar sadece çok fazla değil, aynı zamanda yanlış pozitifler artıyor ve bu da etkili bir şekilde yanıt vermesini zor ve verimsiz hale getiriyor. Aslında, yukarıda bahsedilen anket göre, %88’i siber güvenlik lideri uyarı hacminin arttığını söyledi; %46’sı geçen yılın içinde %25’ten fazla bir artış bildirdi.
  • Yeni ve gelişen tehditler – Tehdit manzarası her zaman değişiyor ve AI, kötü aktörleri yeni araçlarla donatıyor, böylece daha fazla tehdidi daha hızlı gerçekleştirebiliyorlar. Kimlik suistimali ve dahili riskler daha fazla karmaşıklık ekliyor.
  • Görünürlük ve araç boşluklarının eksikliği – Rapor, %96’nın şirketlerin önemli kör noktaları olduğunu kabul ettiğini buldu. Bulut altyapısı (%74) ve kimlik ve erişim davranışı (%67) en önemli endişeler.
  • Beceri boşluğu ve personel devir hızı – Siber güvenlik beceri boşluğu, endüstri genelinde devam eden bir zorluk oluşturmaya devam ediyor ve yüksek yanma oranları, yüksek bir devir hızına yol açıyor. Seviye 2 (L2) ve daha yüksek analistleri sistem boyunca eğitmek zorundasınız, ancak bunlar seviye 1’de (L1) yanıyorsa, bu gerçekleşemez. Personel bulmak, işe almak, eğitmek, yetiştirmek ve yetenek havuzunu korumak için çok zaman ve çaba gerektirir.

AI’yi Masaya Getirmek

AI ve otomasyon, SOC için büyük bir potansiyele sahiptir. Bu, %81’in organizasyonun SOC için AI araçlarını dağıttığını veya denediğini söylediği yukarıda bahsedilen anketten de anlaşılabilir. Ve bu araçların tam potansiyelini kullananlar, önemli sonuçlar elde ediyor: %60’ı soruşturma sürelerinde %25’ten (veya daha fazla) bir azalma gördüğünü, %21’inin ise %50’den fazla bir azalma gördüğünü söyledi.

AI, uyarı yorgunluğunu eylemli bilgiye dönüştürüyor ve aşağıdaki konularda yardımcı oluyor:

  • Gürültü azaltma – SOC’da AI ile organizasyonlar, AI tarafından yönlendirilen korelasyon ve önceliklendirme kazanıyor
  • Hızlı soruşturmalar – AI ve otomasyon, triyaj, bağlam toplama ve yanıtta yardımcı oluyor
  • Analitik güçlendirme – Analistlerin zamanı, daha yüksek değerli faaliyetlere odaklanmak için serbest bırakılıyor

Uygulama Boşluğu

AI, SOC’yi iyileştirmek için büyük bir potansiyele sahiptir, ancak sorun şudur: Sadece %31’lik yanıt verenler, bu araçları temel algılama ve yanıt iş akışlarında kullanıyor. İlgi yüksek, ancak bir uygulama boşluğu var.

AI’nin tam operasyonel hale getirilmesine engel olan bazı engeller var. Bunlardan biri entegrasyon zorlukları. Miras altyapısı ve parçalı araçlar da yeni teknolojileri benimsemeyi zorlaştırabilir. Bir başka endişe ise şeffaflık ve açıklanabilirlik; AI tarafından alınan kararların nedenlerini nasıl anlarsınız?

İkinci engel, analistlerin güvenmek zorunda oldukları sistemlere duydukları güvenden kaynaklanıyor. Güven, AI olgunluğu için temel bir gereksinimdir. Sadece %9’luk anket katılımcısı, AI tarafından üretilen uyarılar ve önerilere “çok güveniyorum” dedi, %33’ü ise “çoğunlukla güveniyorum” ancak bunları gözden geçirmek istiyor ve %41’i AI’nin genel olarak faydalı olduğunu ancak sürekli doğrulamaya ihtiyaç duyduğunu düşünüyor.

Üçüncü engel, değişim yönetimi. Organizasyonlar, yeni teknoloji getirmeyi ve AI’yi tam potansiyeline ulaştırmayı zorlaştıran sürekli beceri boşluğu ve yeni eğitim ihtiyaçlarıyla mücadele ediyor. Ayrıca, “Her zaman böyle yaptık, neden değiştirelim?” şeklindeki bir mentaliteye karşı kültürel bir direniş var.

SOC Başarısı için Engelileri Aşmak

Hızlı bir getiri sağlayacak pilot projelerle başlayın. Sadece olayları değil, kimlik ve davranışları da ilişkilendirin. Kimlik ve erişim davranışlarındaki görünürlük boşlukları nedeniyle, yukarıda bahsedilen anket göre, respondents, AI platformlarının yalnızca günlükleri analiz etmek yerine, hangi kişilerin ve cihazların sistemler genelinde eylemler gerçekleştirdiğini belirlemek için daha fazlasını yapması gerektiğini söylüyor. Bu tür davranış bağlamı, kimlik tarafından yönlendirilen, sofistike tehditleri bulmak için çok önemlidir.

SOC başarısı için engelleri temizlemek için birkaç adım gerekiyor. İlk olarak, açıklayıcı AIyi şeffaflık ve güven için önceliklendirin. Açık, şeffaf AI triyajı ve soruşturmalar, bağlam ve ayrıntılı düzeltme adımlarıyla, L1 analistlerinin hızlı bir şekilde öğrenmesine, daha yüksek bir düzeyde performans göstermesine ve yeteneklerini hızlı bir şekilde geliştirmesine yardımcı olur.

İkincisi, daha yüksek değerli tehdit avı ve stratejik girişimler (örneğin, Sıfır Güven) için analistleri yetiştirmek. AI, insanları değiştirmek için değil, onları güçlendirmek için tasarlanmıştır. Bu, SOC’da AI ile başarılı olmak için önemli bir ayrıntıdır. Güven kurulana kadar bir insanı döngüde tutun, ardından AI’nin günlük, düşük etkili güvenlik görevlerini ele almasına ve geri kalanını yükseltmesine izin verin.

Üçüncüsü, AI’yi bir SOC stratejisi olarak, bir eklenti veya son düşünce olarak değil, bir bütün olarak düşünün, kapsamlı bir yaklaşımın bir parçası olarak.

SOC’da AI’yi Kabul Etmek Zamanı

SOC’lar, uyarı hacminin artması, analist yanmasının kötüleşmesi ve kimlik tabanlı tehditlerin artmasıyla karşı karşıya kalıyor. Miras savunmaları, meşru davranışları taklit eden ve sahnenin arkasında, “düşük ve yavaş” çalışarak faaliyet gösteren tehditlerle başa çıkmak için yeterli değil. AI, SOC ekiplerine uyarı yorgunluğunu azaltma, veri aşırı yükünü aşma ve bağlama göre soruşturma yapma yeteneği kazandırıyor. Bir ihlal meydana gelmeden veya sonra değil, önce kör noktalarınızı bulmanız gerekiyor. SOC’nuzun yeteneklerini, mevcut zorluklarını ve stratejik vizyonunu değerlendirin ve AI’nin bugün nasıl yardımcı olabileceğini ve uzun vadede daha dayanıklı bir güvenlik duruşu oluşturmaya nasıl katkıda bulunabileceğini belirleyin.

mm

Chris Scheels, Gurucul'de Ürün Pazarlama Başkan Yardımcısı, 20 yılı aşkın bir süredir şirketleri ilerletmek için insanları, süreçleri ve teknolojiyi uyumlaştırıyor. Siber güvenlik alanında ürün pazarlaması ve ürün yönetimi konusunda on yılı aşkın deneyime sahip. İşletmelerin teknolojiden stratejik olarak yararlanarak başarılı olmasına yardımcı olmak onun tutkusu. En son olarak Appgate, Inc.'de müşterilerin Sıfır Güven yolculuğunu hızlandırmasına yardımcı oldu. Geçmişi ayrıca operasyonlar, satışlar ve yeni iş geliştirme deneyimi içeriyor.