Kısa süre önce bir Fortune 50 şirketinin CISO'suyla SOC'lerinde AI ajanlarını nasıl kullanmayı planladıklarını konuşuyordum. Akıllı bir ekipti ve ciddi bir programları vardı. Claude'u birkaç tespit aracına bağlamışlardı ve belirli araştırmalarda gerçek değer görüyorlardı. Ancak daha geniş mimariyi haritalarken içimde bir rahatsızlık vardı. Tasarımları, gerçekten derin insan yargısı gerektiren çok küçük bir uyarı yüzdesi için harika çalışacak, geri kalanını tamamen görmezden gelecekti.
Eve dönerken uçakta Daniel Kahneman'ın 'Hızlı ve Yavaş Düşünme' kitabını elime aldım. Kahneman, insan karar verme sürecini anlama şeklimizi değiştiren nadir insanlardan biridir. Kitabın temel argümanı, insan zihninin tek bir şey olmadığı, paralel çalışan iki sistem olduğudur. Sistem 1 otomatik, hızlı ve bilinçsizdir; insan bilişinin %95'ini oluşturur. Sistem 2 ise yavaş, mantıklı ve çaba gerektirir; kalan %5'i yönetir. Kahneman'a göre hatalar, genellikle yanlış sistemi yanlış işe uygulamaktan kaynaklanır.
Bu oranlar tesadüf değil. 25 milyondan fazla kurumsal uyarıyı analiz eden araştırmalar, uyarıların %98'inin otonom olarak çözülebileceğini, yalnızca %2'sinin insan incelemesi gerektirdiğini gösteriyor. Bu, Kahneman'ın oranıyla neredeyse aynı. İyi performans gösteren bir SOC, en iyi karar vericilerin nasıl çalıştığını yansıtan bir mimaridir: büyük çoğunluk için hızlı, otomatik işleme; küçük bir kısım için kasıtlı insan yargısı. Görüştüğüm CISO, tek beyinli bir SOC inşa ediyordu; ekibi Sistem 2'den Sistem 1 işi yapmasını istiyor, sonra kalan enerjiyle Sistem 2'nin asıl iyi olduğu işi yapmasını bekliyordu.
Nasıl Önlem Alınmalı?
SOC'un hızlı beyni, uyarıların %98'ini oluşturan Sistem 1 problemleri için tasarlanmalıdır. Uyarı triyajının büyük kısmı şu tür sorulardır: Bu dosya kötü amaçlı mı? Bu giriş geçmiş davranışla uyumlu mu? Bu IP daha önce kapattığımız bir vakada göründü mü? Bunlar uzun süreli düşünme gerektirmez; makine hızında, her uyarı için, 7/24 cevap ister. İnsan analistler bu işi yapmaya zorlandığında yavaşlar, basitleştirir ve sonunda atlamaya başlarlar. Düşük öncelikli yığında gizlenen 54 gerçek tehdit, kimse onları görmezden gelmeyi seçmediği için değil, bilişsel kapasite tükendiği için gizli kalır.
Otonom AI beyni, Sistem 1 gibi çalışmalıdır: sürekli, tetiklenmeden, insan dikkatinin eşiğinin altında. Tüm sinyallere adli düzeyde araştırma uygular; bellek taramaları, dosya analizi, uç nokta, kimlik, ağ ve bulut arasında çapraz sinyal korelasyonu. Gürültü olan vakaları kapatır, gerçekten insan gerektiren vakaları tüm kanıtlarla birlikte yüzeye çıkarır. İzin istemez; karar üretir. Bir AI SOC bunu yapar: her şeyi araştırır, iki dakikadan kısa sürede %98 doğrulukla karar verir ve insan ekibine yalnızca dikkatlerini hak eden %2'yi teslim eder.
Yavaş beyin ise Sistem 2'nin alanıdır ve Claude, Codex, Cursor gibi araçlar burada devreye girer. Karmaşık vaka analizi, tespit kuralı mühendisliği, olay raporlama, sektör brifinglerine dayalı tehdit avcılığı gibi işler; sentez, yargı ve adli bulguları yalnızca analistin sahip olduğu iş bağlamıyla birleştirme yeteneği gerektirir. AI co-pilot çerçevesi burada anlam kazanır, ancak yalnızca co-pilot aynı zamanda pisti yönetmekle görevlendirilmezse. Bir Claude ajanı yükseltilmiş bir vakayı aldığında, ham bir uyarıdan değil, tüm adli analizi tamamlanmış, ilgili sinyaller ilişkilendirilmiş bir araştırmadan başlamalıdır.
Sonuç olarak, SOC'lerin iki beyinli bir mimari benimsemesi gerekiyor: otonom AI ile hızlı, otomatik triyaj; ve AI co-pilotlarıyla yavaş, derinlemesine analiz. Bu ayrım, Kahneman'ın bilişsel modelini yansıtır ve güvenlik ekiplerinin tüm uyarıları kapsamasını, analist tükenmişliğini önlemesini ve gerçek tehditleri kaçırmamasını sağlar. Mevcut araçlar ve araştırmalar, bu yaklaşımın hem mümkün hem de gerekli olduğunu gösteriyor.
Kaynak: thehackernews.com