Yapay Zeka Siber Güvenlik Teknolojilerini Nasıl Şekillendirecek? Bölüm 3: SOC Araçlarının Ai ile Evrimi
Bu makale serimizde biliyorsunuz ki Ai uygulamaları, araçları ve modellerinin Siber Güvenlik teknoloji, araçlar ve pratikleri ile nasıl entegre olabileceğini kendi düşüncelerimle ele alıyordum. Bu bölümde de sıkça kullandığımız SIEM araçlarının Ai ile nasıl entegre olabileceği ve Ai uygulamalarının bu araçların seyrini nasıl değiştirebileceğine göz atacağız.
Üreticilerin çoğu Ai uygulamalarından ve teknolojilerinden güç aldığını belirtsede araştırmalar çok azının gerçek anlamda ai model ve uygulamalarının araçlara entegre edildiğini belirtiyor. Peki ilk olarak SIEM’e Ai model ve araçları nasıl entegre olabilir.
SIEM x Ai Model & Agents
SIEM araçları uzun yıllardır şirketlerin hayatında olan kritik araçlardan biri. Bu araç çoğu küçük ve orta ölçekli şirket için regülasyonların karşılanması için kullanılsada asıl varoluş amacı kural ve korelasyonlarla kurum atak yüzeyine ve envanterlerine yönelik saldırıların tespit edilmesini sağlamak. Ama kurumlarda olan siber güvenlik ekibi personel sayısı, mevcut personellerin teknik yetkinliği, sahip olunan aracın yetkinliği ve envanter büyüklüğü gibi sebepler bu araçların verimliliği ile doğru bir orantıda çalışıyor.
İlk adımda mevcut araçlardan elde edilen temel gereksinimler;
- Envanter Logları
- Kural ve Korelasyonlar
- Parsing ve Normalizasyon uygulamaları
- Regex Kullanımı
- Log toplama agent’ları yada protokolleri
gibi doğrultular noktasında bu verilerin anonimleştirilmiş şekilde düzenlenerek Ai Modelinin eğitilmesi gerekiyor. Örnek Ai modelininde user ile etkileşime geçeceği ve ajanlı bir yapıda çalışacağı göz önünde bulundurulacağından LLM temelli bir Ai modelinin tercih edilmesi ilk adımda doğru olacaktır. Çünkü ilgili ai modeli doğrudan text alıp işleyip belki çıktılarını ve işlem sonuçlarını kullanıcı ile paylaşabilecek.
Hatta oluşturulan avatar’lar ile doğrutan Text-to-Voice yada Text-to-Video ile hizmet bile verebilir.
Tehdit Algılama ve Anomalilere Dayalı Analiz
İlk adımda bahsettiğim temel gereksinimler ile alacağı ve işleyeceği veri türlerini kavrayan model ileri ki finetune ve eğitimlerle bunların bir Saldırı Doğrulama Zinciri yada Olay Tespit Zinciri analizlerinden geçirip olay örgüsüne bağlı skorlamalar ve saldırı aşamalarının derecelendirilmesini sağlayabilir. Bu sayede ileri ve geriye dönük saldırının sıradaki aşamasına yönelik kontrollerini arttırabilir. Veya saldırının geriye gönük bulgularının tespiti için iz sürebilir.
Bu yapının kazanılmasında RLHF’in yardımı çok olacaktır. Çünkü modelin ileri ve geriye dönük değerlendirmesinde alacağı aksiyon ve ilerleiyşi RLHF ile bolca feedback’ler vererek izleyeceği yol için model ağırlıkları düzenlenebilir. Bu da aslında bolca incident senaryosu veya model eğitimi sonrası Breach and Attack Simulation araçlarınca entegrasyonlar ile çok çevik ve hızlı bir gelişim sağlatılabilir.
Kendiliğinden Kural ve Korelasyon Geliştirimi
Modelin eğitimi ve çalışma halinde de devamlı analistlerce RLHF girişleri onun kurumun envanterine özel düşünmesini ve saldırı haritasına bakarak yeni tespit ve engelleme kuralları geliştirmesi özelliği çok olası bir durum. Bunun için modelde doğru datanın işlenmesi ve belirli bir süre boyunca gözlemleme sağlaması ile rahatça kurum kimliğine yönelik bir koruma sağlayacaktır. Bir diğer adımda ise kural ve koralasyonlara uygun ai agent özelliklerinin dahil olması olacaktır.
SIEM x Ai Agent -> Kill SOAR!
SIEM ve diğer logların alındığı araçlar ve envanter ile entegrasyon kazanılmasına ve otomasyonun GUI aracılığıyla yapılması bizi SOAR’a yönlendirmişti. Ancak SIEM’in Ai Agent ile bir araya gelerek API seviyesinde etkileşim kazanması hem SIEM’de harcanılacak insan vaktinden hemde SOAR’da otomasyon yazmakla harcanacak insan vaktinden oldukça tasaruf sağlayacaktır. Hatta bu sayede SOAR çıktılarının incelenmesi dahi Siber Güvenlik odaklı eğitilmiş bir model ile incelenerek handle edilecektir.
Peki bu noktada insan nerede olacaktır… İnsan gün sonunda gelişen saldırı ve tespit metadolojilerinin ai modellerinin finetuning ve RAG sağlanmasında aktif yer alacak, işlenmeye hazır veriyi Ai’a sağlayacaktır. Tabi bu da bir noktaya kadar olacaktır. Çünkü günümüzde sentetik dataset’ler üreten Ai modelleride hız kazanmaktadır. Hatta sentetik dataların gerçek veriye yakınsaması arttıkça insan faktörüde aradan kalkabilecek düzeydedir. Ama unutulmaması gereken kısım saldırgan tarafta insan ve makinelerin gücünden yararlanan bir grup olacağından, insanın olacağı her formülde bir anomali beklenebilir ve bu yapıyı kırabilir. İşte bu yapının kırılabilirlik ihtimalide biz siber güvenlik uzmanlarını bu döngüye dahil ederek iş istihdamını arttıracaktır.
