Siber güvenlik liderleri son yıllarda adeta bir harcama maratonuna girdi. Küresel siber güvenlikte yapay zeka pazarının 2026'da 44 milyar dolar değerinde olduğu ve 2034'e kadar 213 milyar dolara ulaşacağı tahmin ediliyor. Bu büyüme, makine öğreniminin tehdit hacmi ile insan analist kapasitesi arasındaki boşluğu kapatacağına duyulan inancı yansıtıyor. Bu inanç yanlış değil. Yanlış olan, araçlar çalışmayı durdurduğunda çoğu kuruluşun odağının nereye kaydığıdır.
Yapay zeka destekli tespit sistemleri yetersiz kaldığında içgüdüsel tepki, algoritmayı ayarlamak, modeli yeniden eğitmek veya satıcıdan daha iyi bir ürün talep etmek oluyor. Oysa çoğu durumda asıl suçlu, herhangi bir modelin bir olayı görmesinden çok önce veri boru hatlarının yukarı akışında gizleniyor. Parçalı telemetri, tutarsız şemalar ve güncelliğini yitirmiş davranış taban çizgileri, kurumsal yapay zeka güvenlik sistemlerinin performansını sessizce düşürüyor. Algoritmayı düzeltmek ama veriyi düzeltmemek, giriş sürekli değişirken bir teraziyi yeniden kalibre etmeye benziyor.
Veri düzeyinde kimsenin konuşmadığı araç yayılımı sorunu var. Çoğu büyük kuruluş temiz, birleşik güvenlik verileriyle çalışmıyor. On yıllar boyunca birikmiş altyapı kararlarıyla uğraşıyorlar. Araştırmalar, ortalama bir kuruluşun 29 farklı satıcıdan 83 farklı güvenlik ürünü çalıştırdığını ve SOC ekiplerinin günde yaklaşık 3.000 uyarı aldığını, bunların yüzde 63'ünün yanıtsız kaldığını gösteriyor. Bu araçların her biri kendi biçiminde, kendi alan adlandırma kuralları, zaman damgası standartları ve meta veri şemalarıyla kendi telemetrisini üretiyor.
Bu veri kaosu, yapay zeka modellerinin doğru öğrenmesini engelliyor. Farklı kaynaklardan gelen veriler uyumsuz olduğunda, model anlamlı kalıplar yerine gürültüyü öğreniyor. Örneğin, bir güvenlik olayı yönetimi (SIEM) sistemine akan verilerde zaman damgaları farklı biçimlerde geliyorsa, model olayları doğru sıralayamıyor ve yanlış pozitif oranı artıyor. Benzer şekilde, kullanıcı davranışı analitiği (UEBA) için toplanan veriler eksik veya tutarsız olduğunda, model normal davranışı yanlış tanımlıyor ve gerçek tehditleri gözden kaçırıyor.
Veri mimarisini düzeltmek, tüm güvenlik verilerini ortak bir şemaya, standart zaman damgasına ve birleşik meta veri yapısına kavuşturmayı gerektiriyor. Bu, veri gölleri veya veri ambarı çözümleriyle sağlanabilir. Örneğin, Apache Kafka gibi akış işleme platformları, farklı kaynaklardan gelen verileri gerçek zamanlı olarak normalleştirebilir. Ayrıca, veri kalitesi izleme araçları, eksik veya hatalı verileri tespit edip temizleyerek modellerin her zaman güvenilir verilerle beslenmesini sağlar.
Pratik çıkarım: Güvenlik liderleri, yeni bir tespit modeline yatırım yapmadan önce veri mimarilerini denetlemeli. Veri boru hatlarının temiz, tutarlı ve iyi belgelenmiş olduğundan emin olmalı. Ayrıca, veri şemalarını standartlaştırmak ve veri kaynaklarını birleştirmek için bir veri yönetimi stratejisi oluşturmalı. Unutmayın, en iyi yapay zeka modeli bile kötü verilerle iyi sonuç veremez. Veri mimarisine yapılan yatırım, uzun vadede tespit doğruluğunu ve güvenlik operasyonlarının verimliliğini katlayacaktır.
Kaynak: csoonline.com