Siber Güvenlik Olay Müdahale Süreçlerinde Yapay Zeka Kullanımı — Part 1: Hazırlık Aşaması
Bir kurumdaki Siber Güvenlik Olay Müdahale Süreçlerindeki plan, politika ve prosedürlerin tümü, olay anına kadar aslında güven de hissettirir. Olay anında tüm yapılan çalışmalar, hazırlıklar ve önlemler tabiri caizse savaş meydanında sınanacaktır. Ayrıca genel olarak her seferinde gelişen ve değişen dünyada saldırganlar bir şekilde bizi geride bırakacak yada bir nokta hazırlanırken gözümüzden kaçacaktır.
Kedi ve fare oyununa benzeyen bu durum 7/24 durmadan çalışan, performansı ve algısı değişmeyen, tek bir yüksek eşikte ve birden fazla kopyası olacak şekilde hizmet veren bir sanal çalışanın sürece dahil olmasıyla bambaşka bir hal alacak gibi. Gelin geleceğe ışık tutmaya çalışalım.
Incident Response süreçlerini oldukça kapsamlı olarak aşağıdaki makale serimde ele almıştım biliyorsunuz.
Şimdi bu makale serimi tekrardan ele almak zorundayım. Çünkü oyunun oyuncuları oldukça değişti ve her iki tarafta Yapay Zeka teknolojisine oldukça meraklı ve yetenekleri konusunda şaşkın durumda. Bu yazı serimizde Ai ve Ai Agent alanında öğrendiklerim doğrultusunda ilk adımda defansif olarak SP 800–61 Rev. 3'ün Incident Response modülünü olası Ai gücüyle geliştirmeye çalışacağım. Bir sonraki adımda Lockheed Martin’nin cyber Kill Chain modelini de saldırgan taraf gözünden olası Ai gücüyle geliştirmeyi hedefleyeceğim.
NIST’in klasik IR diyagramını hatırlarsınız. Hazırlık süreci ile başlayan dört aşamalı süreç, kendi içinde de bir sirkülasyon oluşturup çoğu adım devam edip ilerlerken geri bilgi desteği sağlar ve her adım birbirini besler.
İlk adım olan hazırlık aşamasında devam bir gelişim ve güncelleme olmaktadır. Bu da hazırlanan Plan ve Prosedür dökümanın analistlerce devamlı takip edilmesi ve incelenmesini mecburi kılar.
- YZ Dokunuşu: Olay müdahalesi planlarınca, kurum içerisindeki envanterler ve topoloji odaklı bilgiler ile eğitilmiş LLM Modelimiz burda döküman ne kadar güncellensede RAG ile döküman özelinde aksiyon ve inceleme yaptırılarak devamlı güncel kalacaktır. Ayrıca RHFL ile de olay müdahalesi anında verilen yanıtlar skorlanıp kendiliğinden eğitimede destek olacaktır.
Bu aşamada olaylar senaryolarının yaşanmaması için önlemlerde belirlenmiştir. Ek olarakta bu önlemlerin IR anında müdahalede bulunacak ekibin ve dahil olacak ekiplerin sorumluluklarının, bu ekibin kullanacağı araçların, süreç boyunca ele alınacak politika ve prosedürlerin belirlendiği ilk adımdır.
- YZ Dokunuşu: Burada eğitilmiş modele eklenecek LangChain gibi Ai Agent araçları sayesinde olayın gidişatına göre ilgili iletişime geçilecek ekip üyeleriyle kurumsal iletişim aracı vasıtasıyla (Slack, Teams, mail vb.) LLM modelimiz etkileşime geçip ondan bilgiler ve aksiyon kararları alabilir ve uygulayabilir. Bu bizi oldukça öne geçirecek bir hız kazandırır. Modelin belli bir süre sonunda olaylar doğrultusunda alınan kararları analiz edip ileri ki adımlarda sadece evet/hayır teyidi alarak hatta sonrasında sadece bilgilendirme atıp kendisi aksiyon alarak çalışabilecektir.
Hazırlık aşamasını olaylar sonunda elde edilen Leason Learned çıkarımları, ekip ile yapılan Tabletop egzersizleri çıktıları sürekli beslemeli ve plan, prosedür ve politika dökümanını analistler düzenlemelidir.
- YZ Dokunuşu: LLM modelimiz burada verilen Leason Learned ve Table Top egzersiz çıktılarını en iyi şekilde tüm olaylardaki gelişmeleri katarak analiz edebilecektir. Aynı zamanda olayın en iyi analizini kendiside ilgili alarmlara ve loglara erişerek ölçekleyebilecek ve bu egzersizlerde atladığımız noktalarıda bize sunabilecektir.
Incident Süreç Takibide oluşan incident’ların ele alınması kadar önemlidir aslında. Bu sürecin nasıl ilerlediği hakkında sadece bilgi vermenin dışında sürece müdahil olan ekiplere taskların atanması, bu taskların takibi, gerekli zafiyetlerin onarılması ve takibi vb. birçok adımın dahil olduğu bir süreçtir.
- YZ Dokunuşu: Modelimiz burda sürece dahil olup, modele bağlanan short term ve long term bilgi depolarıyla hareket edebilir. Bu sayede olay anı için aksiyonlarını derleyip takibinide sağlayabilir. Aynı zamanda notion veya trello gibi board’larda taskları tutup ilgili task sahiplerine hatırlatmalar yapıp deadline’lar hatırlatabilir.
Süreç boyunca olayların ne şekilde evrileceği ve ilerleyeceği büyük sorulardan biridir. Eldeki loglar ve alarmlardan yola çıkıp saldırganın saldırı yolunu analiz etmek bir yana ilerleyen dakikalarda alacağı aksiyonları ve elindeki güçlü kartları tahmin etmek bambaşka bir süreç olacaktır.
- YZ Dokunuşu: LLM’imiz burada anlık girilen incident takip ekranındaki verileri, IoC’leri, envanter bilgilerini, logları ve alarmları analiz edip hem Cyber Kill Chain’de hemde MITRE ATT&CK üzerinden anlamlı bir analiz verisine dönüştürüp saldırının ilerleyişini tahmin edecek ve bize ilerleyişi söyleyebilecektir.
En önemli konulardan bir diğeri sürecin diğer aşamalarda ele alınması çok hızlı ve başarılı olacaktır. Çünkü ilk adımdan ilerleyen yapılandırılmış ve zenginleştirilmiş veri diğer katmanlarda çok iyi analiz edileblecektir. Diğer aşamanında Analiz ve Tespit aşaması olduğu göz önüne alınınca çok işimize yarayan bir veri akışı oluşacaktır.
