İki tür siber saldırı vardır: Bir ağa sızmaya yönelik otomatik fırsatçı girişimler ve hedefli Gelişmiş Kalıcı Tehdit (APT) saldırıları. İlki çoğunlukta ve yapay zeka (AI) otomatik olarak çoğunu engelleyebilir. Ancak bir APT'nin arkasında genellikle insanlar vardır. Bu tür ağ düzeyindeki saldırılara karşı savunma yapmak, hem yapay zeka hem de güvenlik uzmanları gerektirir.
Bilgisayar korsanları ilk olarak kötü amaçlı yazılımlarının ağdaki izleriyle tanımlanır. Bununla birlikte, bu anormal trafik kalıpları, bilgi yığını içinde kolayca kaybolur. Kendi cihazlarına bırakılan insan BT yöneticisi, iş onları tanımaya geldiğinde bunalmış durumda.
Tanımak bir şeydir, ancak
Yapay zeka, meta verilere dayalı olarak veri trafiğindeki anormallikleri gerçek zamanlı olarak tespit ederek ve ardından savunma tepkilerini tetiklemek için alarm vererek savunmaya önemli bir katkı sağlıyor. Splunk uzmanlarına göre yapay zeka ve otomatikleştirilmiş siber savunmalar, Seviye 90 güvenlik olaylarının yüzde 1'ını otomatik olarak algılayabilir ve düzeltmeyi başlatabilir.
Soru şu: Kalan yüzde XNUMX ne olacak? Karmaşık saldırıların arkasında genellikle insan failler olduğundan, bilgileri analiz ederken hem insan mantığı hem de insan muhakemesi, geleceğe hazır savunma için çok önemlidir.
İnsan BT güvenlik analistleri aracılığıyla katma değer
Artık hiçbir siber savunma yapay zeka olmadan yapamaz. Ancak insan gözlemciler hala önemli bir artı sunuyor:
1. AI ve insan zekası birbirini tamamlar
Makine öğrenimi (ML) ve tehdit istihbaratı ile optimize edilmiş yapay zeka, büyük miktarda bilgiyi hızlı ve hatasız bir şekilde analiz edebilir. BT güvenlik uzmanı bunu temel alır ve veri trafiği modellerini yorumlar. Aynı zamanda, denenmiş ve test edilmiş prosedürleri kullanarak savunmayı yönetir. Şirket ve BT konusundaki bilgisi nedeniyle, aynı zamanda önemli bir AI koçudur. Burada, diğer şeylerin yanı sıra BT güvenliği açısından kritik sistemleri etiketleyerek normal ve dolayısıyla meşru veri aktarımlarının tanımını hızlandırır. Ağ trafiğinde görünmeyen bu tür bilgileri de dikkate alır: örneğin, cihazlar mevcutsa ancak merkezi olarak yönetilmiyorsa veya bir şirket yeni bir genel merkez kurarsa, bu, o zamana kadar alışılmadık olan IP adresleriyle yapılan sorguları açıklar. nokta. Ya da yeni teknolojileri, uygulamaları ve dolayısıyla sistemleri hayata geçirdiğinde.
2. Bilgileri bağlam içinde değerlendirin
Yapay zeka istatistiksel bir yaklaşımdır. Tehlikeleri tanımak, savunmak ve önlemek, bireysel verilerin ötesine geçen bağlantılar gerektirdiğinden, insanlar ve onların muhakeme yetenekleri önemli bir rol oynar. Somut şirket bilgisi, örneğin, bir şirket tarafından görevlendirilmiş bir BT hizmet sağlayıcısı, hiç siparişi olmayan bir alt ağda aniden harekete geçtiğinde yardımcı olur. Veri trafiği modeli ilk başta önemsiz görünse bile, yetkinliklerin aşılması güvenliği ihlal edilmiş bir BT hizmet sağlayıcısına işaret edebilir ve kontrol edilmelidir.
3. Bilgisayar korsanının sonraki hamlelerini tahmin edin
Karmaşık Gelişmiş Kalıcı Tehditler (APT) hala insan yapımıdır. Şirketteki önemli kişilere yönelik kimlik avı saldırılarının arkasında genellikle istenmeyen posta robotları değil, hedeflenen bir e-posta eki aracılığıyla İnternet'e giren insan toplum mühendisliği uzmanları vardır. AI daha sonra bir insan saldırganın ağa müdahale ettiğini fark eder. Bilgisayar korsanının bireysel taktikleri istatistiksel göstergelere yansımaz. Deneyimli bir güvenlik analisti, saldırganın bir sonraki adımlarını tahmin etmek için kendisini bilgisayar korsanının yerine koyabilir ve bir sonraki hamlelerini tahmin edebilir.
4. Genel fail motivasyonunu değerlendirin
Bir siber savunma, bir suçlunun saiklerini dikkate almalıdır. Her saldırgan verileri çalmak, şifrelemek ve fidye almak istemez. Bilgisayar korsanlarının farklı amaçları vardır: bitcoin madenciliği yapmak için kaynakları kaçırmak, belki politik veya kişisel sabotaj veya sadece yok etme arzusu. Bu nedenle, bir savunma yalnızca verileri güvence altına almamalı veya bilgi sızıntılarını kapatmamalıdır. Sürdürülebilir bir tepki, insan psikolojisinin anlaşılmasını gerektirir.
5. Otomatik savunma mekanizmaları yerine ilgili ve öncelikli güvenlik
Bir BT güvenlik analisti, bir şirket için riskleri ayrı ayrı önceliklendirir. Savunma seçimi bağlama bağlıdır: artık şirket için herhangi bir değeri olmayan kurtarılabilir veriler mi yoksa çokça alıntılanan taç mücevherleri mi? Yapay zeka, iş başarısı için verilerin veya süreçlerin alaka düzeyi göz önüne alındığında, duruma uygun bir savunma hakkında ortaya çıkan soruları yanıtlayamaz.
Ek olarak, analistin tipik endüstri saldırılarına karşı bir gözü vardır. Bilgisayar korsanları şu anda e-satıcı X'e kötü amaçlı yazılımla saldırıyorsa, daha sonra rakip Y ve Z'yi deneyecekleri göz ardı edilemez. Sadece kendi ağını gözetleyen bir yapay zeka, ancak güncel tehdit istihbaratı ile destekleniyorsa böyle bir riski görür.
6. Savunmalara liderlik edin ve tali hasarlardan kaçının
Bir yapay zekanın bir tehlikeyi algılamada büyük güçleri vardır ve otomatik olarak bir savunma başlatabilir. Ancak her savunmanın yan etkileri vardır ve BT'ye veya iş süreçlerine zarar verebilir. Savunma, APT'den daha az karmaşık ve önemli olmayabilir. Bu nedenle güvenlik analistleri, eylemlerin sonuçlarını değerlendirebildikleri ve tartabildikleri için burada talep görmektedir. İnsan uzmanlığı, hemşirelikte IoT kontrollü bina erişimini veya BT sistemlerini bloke etmek gibi gerekçesiz tali hasarları önleyebilir.
Bir saldırıyı takip ederken, bir güvenlik analistinin önemli bir danışmanlık rolü vardır. Tüm ağın ikizlenmiş bir kaydını kullanarak adli olarak ne olduğunu ve gelecekteki saldırıların nasıl önlenebileceğini anlayabilir.
AI ve güvenlik uzmanları birbirine bağlıdır
AI olmadan BT güvenliği geçmişte kaldı. Bununla birlikte, güvenlik uzmanı gereksiz olmayacaktır. Alarmların sürekli tercümanı, kriz durumlarında bir süpervizör ve geleceğe hazır BT güvenliği için bir danışman olarak alakalı olmaya devam ediyor. Her "Tespit ve Yanıt", ideal olarak bir "Yönetilen Tespit ve Yanıt" ile tamamlanır.
Daha fazlası ForeNova.com'da
ForeNova Hakkında ForeNova, orta ölçekli şirketlere siber tehditlerden kaynaklanan zararı verimli bir şekilde azaltmak ve iş risklerini en aza indirmek için uygun fiyatlı ve kapsamlı Ağ Tespiti ve Müdahalesi (NDR) sunan ABD merkezli bir siber güvenlik uzmanıdır. ForeNova, Frankfurt a. M. ve tüm çözümleri GDPR uyumlu olarak tasarlar. Avrupa genel merkezi Amsterdam'dadır.