Connect with us

Röportajlar

Mayank Kumar, DeepTempo’da Kurucu AI Mühendisi – Röportaj Serisi

mm
Published
Updated

Mayank Kumar DeepTempo’da Kurucu AI Mühendisidir ve burada şirketin temel Log Dili Modeli (LogLM) tasarım ve geliştirme süreçlerini yönetmektedir. Generatif ve çoklu AI alanında güçlü akademik ve araştırma geçmişine sahip olan Mayank, tehdit tespiti ve yanıt vermeyi geliştirmek için domaine özgü modeller oluşturmada uzmanlaşmıştır.

DeepTempo bir siber güvenlik şirketidir ve LogLM adlı AI-yerli temel model etrafında kurulmuştur. Bu model, büyük ölçekli güvenlik günlüğü verilerine dayanarak eğitilmiştir. Platform, daha önce görülmemiş gelişmiş tehditleri tanımlamada uzmanlaşmıştır ve yanlış pozitif sonuçları en aza indirir. Mevcut güvenlik iş akışlarına sorunsuz entegrasyon için tasarlanan DeepTempo, datalake, Kubernetes ve Snowflake’de dağıtımları destekler, böylece daha hızlı adli tıp analizleri, azaltılmış veri alımı maliyetleri ve modern şirketler için ölçeklenebilir, otomatik savunma sağlar.

Sizi DeepTempo’yu kurmaya iten nedir ve akademik araştırma ve açık kaynaklı AI geçmişiniz şirketin yönünü nasıl etkiledi?

Ben bir yüz yüze ilişkilerin kurulduğu bir toplulukta büyüdüm. Babam, bir öğretmen, bana geri vermeyi öğretti. while biz maddi olarak zengin olmayabilirdik, ancak bağ ve amaç açısından zengindik. Bu tür bir ortamda, sorunları çözmenin bireysel yetenekle değil, kolektif güçle ilgili olduğunu nhanh chóng öğrenirsiniz. Bu zihniyet benimle kaldı ve sonunda sosyal girişimcilikle ilgilenmeme neden oldu.

Dönüm noktası, babamın tarayıcısının bir fidye saldırısına maruz kalmasıyla geldi. Bu sadece bir teknik arıza değildi, evimize korku, karışıklık ve savunmasızlık getirdi. Bu deneyim, dijital dünyanın ne kadar kırılgan olduğunu, sadece bireyler için değil, sürekli tehdit altında olan organizasyonlar için de açıkladı. O sırada Evan ile tanıştım ve internet ölçeğinde kolektif savunma oluşturma vizyonu benimle derinden rezonansa girdi. Paylaştığımız bu misyon ve teknolojiyi insanlara hizmet için uygulama isteğim, beni DeepTempo’ya çekti.

Washington Üniversitesi’nde, araştırmam iki temel alanda odaklandı: çoklu temsil öğrenimi ve veri odaklı AI. Her ikisi de LogLM’yi inşa ederken kritik oldu. Siber güvenlik günlükleri, doğal dilin aksine, karmaşık, yapılandırılmış ve parçalıdır. İlk zorluğumuz, bu veriden anlamlı représentasyonlar öğrenmesini sağlamak için bu veriyi yorumlayabilecek yeni bir “dil” oluşturmaktı.

Ama teknolojinin ötesinde, kolektif savunma her zaman bizim kuzey yıldızımız oldu. İşte bu yüzden, bu misyonu başarılı bir şekilde ölçeklendirme için açık kaynaklı işbirliği çok önemlidir.

DeepTempo’nun merkezinde yer alan “kolektif savunma” kavramı nedir ve geleneksel siber güvenlik yaklaşımlarından nasıl farklıdır?

Uygulamada, kolektif savunma, bir müşterinin LogLM örneğinin yeni bir saldırı davranışını tanımladığında, bu bilgi, bir genel davranış özelliğine distile edilebilir ve ekosistem boyunca paylaşılabilir. Bunun için ham günlükleri veya müşteri verilerini göndermek gerekmez. Bunun yerine, yüksek güven düzeyindeki davranış kalıplarını soyutlar ve federated öğrenme teknikleri aracılığıyla model ağırlıklarına dahil ederiz.

Bu, ya tek boyutlu kurallara ya da statik tehdit istihbarat beslemelerine güvenen miras sistemlerle keskin bir karşıtlık oluşturur. Bu sistemler, birden fazla kurban etkilenene kadar gelişmez. Kolektif savunma ile algılama sistemi, her yüksek kaliteli sinyalle birlikte evrilir, bu da daha önce görülmemiş tehditleri ve LLM-augmented agentic saldırı akışlarını daha geniş çapta yakalamamızı sağlar.

LogLM’nin geliştirilmesini tetikleyen şirket güvenlikindeki belirli boşluklar nelerdi ve bu, daha önceki algılama sistemlerinden nasıl temelde farklıdır?

Şirket güvenlik ekipleri üç büyük sorunla karşı karşıyadır: yüksek gürültü-sinyal oranları, yeni ortamlara aktarılamayan kırılgan algılamalar ve ortaya çıkan tehditlere karşı yavaş uyum. LogLM, bu üçünü de ele almak için oluşturuldu.

Mevcut çoğu sistem, kural tabanlı veya dar AI yaklaşımına dayanır ve yeni bir ortamı anlamak için haftalarca veya aylarca ayarlamaya ihtiyaç duyar. Bu yaklaşımlar, saldırganlar taktiklerini biraz değiştirdiğinde başarısız olur, Scattered Spider veya Volt Typhoon gibi gruplarda gördüğümüz gibi. LogLM, büyük ölçekli güvenlik telemetrisine dayanarak eğitilir ve bunu yapılandırılmış bir dil olarak ele alır. Bu, karmaşık dizileri, örneğin şüpheli PowerShell yürütme, kayıt defteri anahtarı değişikliği ve alışılmadık dış giden trafiği, izole edilmiş anomaliler olarak değil, bir tehdit anlatısının parçası olarak tanıyabilmesini sağlar.

Mirasyeti araçlardan farklı olarak, LogLM, bağlamsal, taktik düzeyinde algılamalar üretir. Ve tamamen sıfırdan inşa edildiğinden, güvenlik için tasarlanmıştır, bu da yalnızca birkaç günün etiketsiz günlükleriyle hızlı uyum sağlamasını sağlar. Bu, güvenlik ekipleri için algılama ve tepki verme sürecini hızlandırır.

Gölge ajanlar nelerdir ve merkezi denetim olmadan çalışan organizasyonlar için ne tür bir risk oluştururlar?

Gölge ajanlar, güvenlik ekibi tarafından açıkça yetkilendirilmeyen veya görülebilen, souvent LLM’ler üzerine inşa edilen özerk AI araçlarıdır. Recent bir örnek, MITRE’nin CVE-2025-32711 (“EchoLeak”)’dir, Microsoft 365 Copilot’ta bir zero-click açığı, sadece e-postaları özetlemesini istemekle tetiklenir. Bu açıklık, ajanın RAG bağlamı aracılığıyla iç verilerin sızmasına izin verir, hiç bir kullanıcı etkileşimi gerekmez. Bu ajanlar üretkenliği artırabilir, ancak genellikle güvenlik incelemesini atlar ve hassas verileri kontrolsüz çıkarım katmanlarına maruz bırakırlar.

Gölge ajanların, sistem günlüklerine erişimi olan ve hardcoded kimlik bilgilerini içeren yığın izlerini sızdırabileceğini gördük. Bu ajanlar genellikle DLP kontrolleri ile donatılmaz, erişim politikalarına uymaz ve denetlenmez. Daha da kötüsü, kararlar alabilirler, örneğin dış sistemlere çıktı iletebilirler, bu da kendileri bir saldırı yüzeyi haline gelir. Prompt enjeksiyonu veya advers.chain gibi durumlarda, tek bir ajan, gerçek etkiyle sonuçlanan aşağı akış eylemlerini tetikleyebilir.

Prompt enjeksiyonu ve model manipülasyonu neden ciddi tehditler haline geliyor ve mevcut sistemlerin çoğunun bunları neden yakalayamadığını açıklayın.

Prompt enjeksiyonu tehlikelidir çünkü modelin temel işlevini, doğal dili yorumlamasını, sömürebilir. Çoğu şirket sistemi, model çıktılarını güvenilir olarak ele alır, ancak model gizli talimatlar alırsa, kullanıcı yorumu, API çağrısı veya hatta dosya adı içinde gömülü olursa, istenmeyen eylemlere yönlendirilebilir. Biz, bu yöntemin kimlik bilgilerini sohbet geçmişinden çıkarmak, kullanıcıları taklit etmek veya girdi doğrulamasını atlatmak için kullanıldığını gördük.

Derin vấn, LLM’lerin güvenlik değil, tutarlılık için optimize edildiğidir. Royal Society’nin çalışmasına verdiğimiz recent yanıta göre, modeller, dikkatli ve kesinlikten ziyade akıcılık ve genellik üzerinde öncelik verir. Onları “daha doğru olun” diye yönlendirmek bile, daha confident ancak yanlış yanıtlara yol açabilir. Adversarial model manipülasyonu da uzun vadeli bir endişe kaynağıdır. Saldırganlar, veritabanlarını zehirleyebilir veya zaman içinde yapılandırılmış sorguları tekrarlayarak modelin davranışını daha müsamahakâr bir alana doğru yavaşça kaydırabilir. Tespit burada, tam zincir günlüğü, sürekli değerlendirme ve model katmanlı kumbara tekniklerini gerektirir, bu da çoğu şirket sisteminin henüz benimsemediği yöntemlerdir.

Tempo, MITRE ATT&CK eşleştirmelerini kullanarak ham uyarılar yerine eyleme geçirilebilir istihbarat nasıl sağlar?

Tempo, algılamalarını ATT&CK taktik ve tekniklerine, denetimli sınıflandırıcılar ve denetimsiz davranış zincirleme yoluyla eşler. Sistem, şüpheli PowerShell yürütme, kayıt defteri anahtarı değişikliği ve alışılmadık dış giden trafik gibi bir dizi görürse, sadece her adıma uyarı vermez, sondern bunu Execution > Defense Evasion > Exfiltration olarak etiketler, bilinen ATT&CK ID’lerini eşler.

Bu, savunucuların saldırganın amacını ve öldürme zincirindeki nerede olduğunu hemen anlamasını sağlar. Ayrıca zenginleştirme sağlarız: etkilenen varlıklar, ilgili günlükler ve güven skorları. Bu yapılandırılmış yaklaşım, SOC analistlerinin bilişsel yükünü azaltır ve yanıt iş akışlarını hızlandırır, ekiplerin hangi taktiğin kullanıldığını, bunun neye yol açtığını ve sonraki adımların muhtemelen ne olacağını bilmesini sağlar. Bu, sadece anomali üzerinde ateşleyen ve anlatı bağlamı olmadan uyarı veren sistemlerden büyük bir adımdır.

DeepTempo neden SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemlerinin önünde çalışır ve bu konumlandırma, güvenlik ekipleri için tehdit tespitini ve operasyonları nasıl geliştirir?

SIEM’ler genellikle günlükleri normalize edip filtreler, böylece alımı azaltmak için maliyetleri düşürür. Ancak bu dönüşüm sırasında değerli bağlamı kaybedebilirler, Örneğin, kesin zaman damgaları, gecikme spike’ları veya geçici oturum davranışları. DeepTempo, bu dönüşümden önce, ham telemetriyi alarak çalışır. Bu, daha zengin davranış kalıplarını modellememizi sağlar, Örneğin, hizmet token’inin yeniden kullanımını slight zaman değişiklikleriyle veya nadir API çağrı dizileriyle, bunlar SIEM eşiklerinin asla geçemeyeceği düzeydedir.

SIEM’in önünde çalışmak, gürültüyü azaltmamızı sağlar, bu da daha az uyarı ve daha az yanlış pozitif sonuç anlamına gelir. Güvenlik ekipleri, her şeyden önce, gerçekten önemli tehditleri araştırmaya odaklanabilir. Bu ayrıca SIEM depolama ve işlem maliyetlerini düşürür, büyük ortamlarda bu maliyetler önemli olabilir.

Tempo’nun yeni ortamlara bu kadar hızlı uyum sağlaması neyi sağlar ve bu, geleneksel makine öğrenimi iş akışlarından nasıl farklıdır?

Geleneksel ML sistemleri, yeni bir ortama uyum sağlamak için genellikle haftalarca etiketli veri ve yeniden eğitim gerektirir. Tempo, temelde farklı bir yaklaşım benimser. Başlangıç noktası olarak, gerçek dünya ağ telemetrisine dayanan önceden eğitilmiş bir model kullanır, Örneğin, NetFlow ve VPC akış verileri. Bu, trafiğin ve davranışların genellikle nasıl göründüğünü anlamak için güçlü bir temel sağlar.

Tempo, yeni bir ortama dağıtıldığında, etiketli verilere veya uzun öğrenme döngülerine ihtiyaç duymaz. Sadece birkaç gün yerel ağ faaliyeti kullanarak bir temel oluşturur ve kendini o ortama özgü kalıpları tespit etmek için uyarlar, Örneğin, unusual off-saati erişimi, hizmet arası iletişim anomalileri veya beklenmedik veri hareketi. Bu, saatler içinde gerçekleşir, haftalar değil.

Bu sürecin kendiliğinden olması, güvenlik ekiplerinin olayları manuel olarak işaretlemesine veya etiketlemesine gerek olmadığını sağlar. Ayrıca, altyapının veya politikaların değişmesi durumunda, modelin eski davranışları “unutmasını” sağlayan anlık mekanizmaları geliştirdik. Ağ katmanında çalışmak, tehditleri daha erken ve daha geniş bir şekilde tespit etmemizi sağlar, bu da geleneksel uç nokta veya günlükte odaklanan güvenlik araçlarından bizi ayıran bir özelliktir.

DeepTempo, özellikle dinamik bulut ortamlarında, yüksek doğruluğu nasıl korur ve aynı zamanda yanlış pozitif sonuçları en aza indirir?

Zamanlı modelleme ile bağlam bilinci olan ağ davranış analizini birleştirir, doğrudan NetFlow ve VPC akış günlüklerine dayanarak. Noble dizi oluşturma yaklaşımımız ve büyük ölçekli ön eğitimle transformer tabanlı derin öğrenme algoritmaları, ağ olaylarının zaman içinde nasıl geliştiğini anlamamızı sağlar. Tek bir başarısız oturum açma girişimini işaretlemeyiz, ancak başarısız bir oturum açma girişimini, yeni bir cihazdan başarılı bir oturum açma, lateral hareket ve alışılmadık veri erişimi izlersek, bunu işaretleriz. Bu katmanlı zaman bağlamı, gürültüyü filtreler ve gerçek ve yeni tehditleri vurgular.

İkincisi, kullanıcı ve hizmet davranışlarını bağlam içinde profilleriz. Bir Kubernetes düğümünün 12 kez yeniden başlatılması, güncellemeler sırasında normaldir, ancak 02:00’de şüphelidir, özellikle de bilinmeyen bir kayıt defterinden yeni bir konteyner dağıtımı takip ederse. Tempo, bu davranışın bir tehdit anlatısının parçası olduğunu tanır, çünkü hem dizi hem de zamanlama hem de bağlamı aynı anda inceler.

Ayrıca, aktif öğrenme pipeline’ımız, belirli algılama stilleri hakkında bilgi toplar ve performans veya veri kaydırması tespit ederse, modelin küçük bir kısmını ayarlamak için analizci geri bildirimi ve anlık görüntüleri kullanır.

Ham, yüksek sadıklıkta ağ meta verilerine dayanan algılamamızı inşa ederiz, zamanlı zekayı davranış profilleme ile birleştirerek, hatta bulut ortamlarında bile yüksek güven düzeyinde uyarılar sağlar.

Sistemimizde açıklanabilirliğin rolü nedir ve uyarıların kullanılabilir, yorumlanabilir bağlamla geldiğini nasıl garantileyorsunuz?

Tempo’daki her algılama, bir özet, altta yatan günlük kanıtı ve çıkarılan taktiği (örneğin, Brute Force ile Kimlik Doğrulama Erişimi) içerir. Ayrıca, ilgili varlıklar, kullanıcılar, uç noktalar, bulut kaynakları grafiği sağlar, böylece SOC ekipleri olayı görselleştirebilir. Hedef, birçok AI sisteminde bulunan “kara kutu” etkisini ortadan kaldırmaktır.

İlk prototiplerimizde, LIME ve SHAP gibi akademik açıklanabilirlik araçlarından yararlandık, ancak bunların analizciler için sezgisel olmadığını bulduk. Bunun yerine, basit bir dille anlatı oluştururuz: ne oldu, ne zaman, neden şüpheli ve ne kadar eminiz. Bu, sadece açıklıkla ilgili değil, aynı zamanda tier-one analizcilerin her uyarı için yükseltmeye gerek kalmadan harekete geçmesini sağlar.

Saldırganların AI ve temel modelleri kendileri kullanmasının uzun vadeli riskleri nelerdir ve DeepTempo bu tehditleri nasıl karşılayacak?

Tehdit manzarası, saldırganların kendiliğinden öğrenen, mutasyona uğrayan yükleri anında değiştirebilen ve meşru kullanıcı davranışını simüle edebilen AI ajanlarını dağıtabileceği bir aşamaya giriyor. Bu ajanlar 7/24 çalışabilir, zayıf noktaları araştırmaya devam edebilir ve her başarısız girişimden sonra uyarlanabilir. Bu, temel bir değişimdir, artık sıfır günler değil, hız, iterasyon ve gizleme ile ilgili.

Bunlara karşı hazırlanmak için, adversarial eğitim, yukarı akış algılama ve bilinen göstergelere dayanmayan davranış modellemesine yatırım yapıyoruz. Hedefimiz, saldırgan davranışının yapısını, önce büyümeden önce tanımlamaktır. AI tarafından oluşturulan saldırgan trafiğini, botnet’leri parmak izi gibi, sürekli değişen yüklerle birlikte nasıl tanımlayacağımızı araştırıyoruz, böylece savunucular, activity’nin değiştiğinde bile activity’yi işaretleyebilir.

 Harika röportaj için teşekkür ederiz, daha fazla bilgi edinmek isteyen okuyucular DeepTempo‘yu ziyaret edebilir. 

Related Topics:
mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.