Siber Güvenlikte İnsan ve Yapay Zekayı Birleştiren Yeni SOC Mimarisi Yazılım

Siber Güvenlikte İnsan ve Yapay Zekayı Birleştiren Yeni SOC Mimarisi

Daniel Kahneman'ın çığır açan 'Hızlı ve Yavaş Düşünme' modeli, SOC'te yapay zeka mimarisinin nasıl tasarlanması gerektiğine ışık tutuyor: %98 uyarıyı

Birkaç gün önce, Fortune 50'deki bir şirketin CISO'suyla SOC'te yapay zeka ajanlarını nasıl kullanmayı planladıklarını konuşuyorduk. Akıllı bir ekip ve ciddi bir programları vardı. Claude'u birkaç tespit aracına bağlamışlardı ve belirli araştırmalarda gerçek değer görüyorlardı. Ancak genel mimariyi haritalandırırken içimde bir şey kemiriyordu. Kurdukları yapı, yalnızca gerçekten derin insan yargısı gerektiren küçük bir uyarı yüzdesi için harika çalışacaktı. Geri kalanını tamamen görmezden gelecekti.

Dönüş uçağında yıllardır elime almadığım bir kitabı okumaya başladım: Daniel Kahneman'ın 'Hızlı ve Yavaş Düşünme'si. Kahneman, insan karar verme sürecini anlama biçimimizi gerçekten değiştiren nadir insanlardan biridir. Kariyerini, ekonomistlerin varsaydığı gibi değil, insanların gerçekte nasıl düşündüğünü inceleyerek geçirdi. 2002'de Nobel Ekonomi Ödülü'nü kazanması, çalışmalarının ne kadar uzağa ulaştığını gösteriyor.

Kitabın temel argümanı, insan zihninin tek bir şey olmadığıdır. Paralel çalışan, çoğu zaman gerilim içinde olan iki sistem vardır. Sistem 1, otomatik olarak çalışan beyindir. Anında desenleri tanır, bir odayı saniyeler içinde okur ve sizi bilinçli çaba harcamadan hayatta tutar. Hızlı, çağrışımsal ve bilinçsizdir. Kahneman'ın araştırmasına göre tüm insan bilişinin %95'i burada, hiç görmediğiniz bir işletim sistemi gibi arka planda sessizce çalışır. Sistem 2 ise zor şeyler için kullandığınız beyindir: bir sözleşmeyi değerlendirmek, bariz cevabı olmayan bir problemi çözmek, baskı altında karar vermek. Yavaş, mantıklı, çaba gerektirir ve düşüncemizin kalan %5'ini oluşturur. Sistem 1 yanlış olduğunda onu geçersiz kılabilir, ancak sınırlı kapasitesi vardır. Tüm gün tam güçte çalıştıramazsınız. Yorulduğunda, Sistem 1 devralır.

Nasıl Önlem Alınmalı?

Kahneman'ın temel içgörüsü, bir sistemin diğerinden daha iyi olması değil, insanların yaptığı hataların neredeyse her zaman yanlış sistemi yanlış işe uygulamaktan kaynaklanmasıdır. Otomatik olması gereken şeylere bilinçli düşünme uygulamak insanları tüketir ve yine de bir şeyleri kaçırır. Gerçekten müzakere gerektiren şeylere otomatik düşünme uygulamak ise kendinden emin hatalar üretir. Uçağa indiğimde laptopumu açtım ve kendime bir cümle yazdım: 'Çoğu güvenlik ekibinin yapay zeka mimarisini tasarlama şekli tam olarak burada yanlış gidiyor.'

Önemli Gelişmeler

Rastlantı değil: Kahneman insanların bilişinin %95'ini Sistem 1, %5'ini Sistem 2 ile yaptığını söyler. 25 milyondan fazla kurumsal uyarı üzerinde yapılan araştırmaya göre, uyarıların %98'i otonom olarak çözülebilir ve yalnızca %2'si insan incelemesini hak eder. Bu, Kahneman'ın oranıyla neredeyse aynı. İyi performans gösteren SOC, yeni bir icat değil; en iyi karar verme mekanizmalarının nasıl çalıştığını yansıtan bir mimaridir: Girdilerin ezici çoğunluğu için hızlı, otomatik işleme ve gerçekten ihtiyaç duyan küçük bir kısım için kasıtlı insan yargısı.

Görüştüğüm CISO, tek beyinli bir SOC inşa ediyordu. Ekibi, Sistem 2'den Sistem 1 işi yapmasını istiyor, sonra da kalan enerjiyle Sistem 2'yi gerçekten iyi olduğu iş için kullanıyordu. Uyarıların yalnızca bir kısmını kapsayabilmelerine şaşmamalı. Analistlerin tükenmesine, düşük öncelikli yığında gizlenen gerçek tehditlerin asla bulunamamasına şaşmamalı. Araştırmaya göre, yılda 450 bin uyarı alan bir kuruluşta, bu uyarıların içinde tam olarak 54 gerçek tehdit gizlenir; gürültü gibi görünen ve sıranın önüne asla geçemeyen uyarılar.

SOC'un hızlı beyni %98 uyarı için: SOC uyarı triyajının büyük kısmı bir Sistem 1 sorunudur. Bu dosya kötü amaçlı mı? Bu giriş geçmiş davranışla uyumlu mu? Bu IP daha önce kapattığımız bir vakada göründü mü? Bunlar uzun müzakere gerektiren sorular değil; her uyarı için, makine hızında, 7/24 cevap gerektirir. İnsan analistler bu işi yapmaya zorlandığında, insanlara tüm gün Sistem 2 görevleri yaptırdığınızda olan şey olur: yavaşlarlar, basitleştirirler ve sonunda atlamaya başlarlar. Yalnızca acil görüneni triyaj ederler. Düşük öncelikli yığında gizlenen 54 tehdit, kimse onları görmezden gelmeyi seçtiği için değil, arkalarında 4.000 uyarı olduğu ve ekibin bilişsel kapasitesi tükendiği için gizli kalır.

Detaylar ve Etkileri

SOC'un otonom beyni, Sistem 1 gibi çalışmalıdır: sürekli, tetiklenmeden, insan dikkatinin eşiğinin altında. Sinyallerin %100'üne derin, adli düzeyde araştırma uygular. Bellek taramaları, dosya analizi, uç nokta, kimlik, ağ ve bulut arasında çapraz sinyal korelasyonu. Açıkça gürültü olan vakaları kapatır ve gerçekten insan gerektiren vakaları, tüm kanıtlar zaten toplanmış halde yüzeye çıkarır. İzin istemez; karar üretir. Bir AI SOC'un yaptığı budur: her şeyi araştırır, iki dakikadan kısa sürede %98 doğrulukla karar verir ve insan ekibine gerçekten dikkatlerini hak eden %2'yi teslim eder. SOC'un yavaş beyni %2 uyarı için: Sistem 2, Claude, Codex ve Cursor'ın SOC'te ait olduğu yerdir. Yavaş oldukları için değil, en uygun oldukları iş gerçekten kasıtlı olduğu için: karmaşık vaka analizi, tespit kuralı mühendisliği, olay raporlama, sektör brifingine dayalı tehdit avcılığı. Sentez, yargı ve adli bulguları yalnızca analistin sahip olduğu iş bağlamıyla birleştirme yeteneği gerektiren işler. AI yardımcı pilot çerçevesinin anlamlı olduğu yer burasıdır, ancak yalnızca yardımcı pilottan aynı zamanda pisti yönetmesi istenmediğinde. Bir Claude ajanı yükseltilmiş bir vakayı aldığında, ham bir uyarıdan başlamamalı; tüm adli analiz tamamlanmış, ilgili sinyaller ilişkilendirilmiş bir araştırmayla başlamalıdır.

Kaynak: thehackernews.com

Paylaş: