Kısa süre önce bir Fortune 50 şirketinin CISO'suyla SOC'ta yapay zeka ajanlarını nasıl kullanmayı planladıklarını konuşuyordum. Akıllı bir ekip ve ciddi bir programları vardı. Claude'u birkaç tespit aracına bağlamışlar ve belirli incelemelerde gerçek değer görmeye başlamışlardı. Ancak genel mimariyi haritalarken içimde bir rahatsızlık vardı. Tasarladıkları yapı, yalnızca gerçekten derin insan yargısı gerektiren çok küçük bir uyarı yüzdesi için mükemmel çalışacak, geri kalanını tamamen görmezden gelecekti. Uçak dönüşünde Daniel Kahneman'ın yıllardır elime almadığım 'Hızlı ve Yavaş Düşünme' kitabını okumaya başladım ve bir aydınlanma yaşadım.
Kahneman'ın temel argümanı, insan zihninin tek bir sistem olmadığı, paralel çalışan ve çoğu zaman çatışan iki sistemden oluştuğudur. Sistem 1 otomatik, hızlı ve bilinçsiz çalışır; desenleri anında tanır ve Kahneman'a göre tüm bilişsel faaliyetlerin %95'ini oluşturur. Sistem 2 ise yavaş, mantıklı ve çaba gerektirir; karmaşık problemler için devreye girer ve kalan %5'i yönetir. Hata yapmanın temel nedeni, yanlış iş için yanlış sistemi kullanmaktır: otomatik olması gereken işler için bilinçli düşünme kullanmak veya gerçekten düşünme gerektiren işlerde otomatik kararlar almak.
Bu oranlar, SOC dünyasıyla şaşırtıcı bir uyum gösteriyor. 25 milyondan fazla kurumsal uyarı üzerinde yapılan araştırmaya göre, uyarıların %98'i otonom olarak çözülebilirken yalnızca %2'si insan incelemesini hak ediyor. Bu, Kahneman'ın %95-%5 oranına neredeyse birebir denk geliyor. Başarılı bir SOC, en iyi karar vericilerin zihnini yansıtır: büyük çoğunluk için hızlı ve otomatik işleme, gerçekten ihtiyaç duyulan küçük kısım için bilinçli insan yargısı. Konuştuğum CISO ise tek beyinli bir SOC inşa ediyordu; ekibi Sistem 2'den Sistem 1 işi yapmasını istiyor, sonra kalan enerjiyle gerçek işi yapmasını bekliyordu.
Sistem Güvenliği
SOC'taki uyarı triyajının büyük kısmı bir Sistem 1 problemidir: 'Bu dosya kötü amaçlı mı?', 'Bu giriş geçmiş davranışla uyumlu mu?', 'Bu IP daha önce kapattığımız bir vakada geçti mi?' Bunlar uzun düşünme gerektirmez; makine hızında, her uyarı için, 7/24 yanıt ister. İnsan analistler bu işi yapmaya zorlandığında yavaşlar, basitleştirir ve atlamaya başlarlar. Araştırmaya göre yılda 450 bin uyarı alan bir kuruluşta, düşük öncelikli yığında gizlenmiş 54 gerçek tehdit bulunur. Bunlar göz ardı edildiği için değil, bilişsel kapasite tükendiği için fark edilmez.
Otonom SOC beyni, Sistem 1 gibi çalışmalıdır: sürekli, tetikleme olmadan, insan dikkatinin eşiğinin altında. Tüm sinyallerin %100'üne adli düzeyde inceleme uygular: bellek taraması, dosya analizi, uç nokta, kimlik, ağ ve bulut arasında çapraz sinyal korelasyonu. Gürültü olan vakaları kapatır, gerçekten insan gerektiren vakaları tüm kanıtlarla birlikte yüzeye çıkarır. İzin istemez, karar üretir. Yapay zeka SOC'si tam olarak bunu yapar: her şeyi inceler, iki dakikada %98 doğrulukla karar verir ve insan ekibine yalnızca dikkatlerini hak eden %2'yi iletir.
Sistem 2 ise Claude, Codex ve Cursor gibi araçların SOC'taki yeridir. Bunlar yavaş oldukları için değil, en uygun oldukları iş gerçekten bilinçli çaba gerektirdiği için: karmaşık vaka analizi, tespit kuralı mühendisliği, olay raporlama, sektör brifingine dayalı tehdit avcılığı. Burada AI yardımcı pilotu mantığı anlamlıdır, ancak yalnızca yardımcı pilot aynı zamanda pisti yönetmekle görevlendirilmezse. Bir Claude ajanı yükseltilmiş bir vakayı devraldığında, ham uyarıyla değil, tüm adli analizleri tamamlanmış, ilgili sinyaller ilişkilendirilmiş bir soruşturmayla başlamalıdır. Otonom AI ile analist yardımcılarının bu akıllı birleşimi, SOC'ların hem hızlı hem de doğru çalışmasını sağlar.
Kaynak: thehackernews.com