Siber güvenlik liderleri, yapay zeka destekli tehdit tespit sistemlerine büyük yatırımlar yapıyor. Global AI güvenlik pazarının 2026'da 44 milyar dolara, 2034'te ise 213 milyar dolara ulaşması bekleniyor. Bu büyüme, makine öğreniminin tehdit hacmi ile analist kapasitesi arasındaki boşluğu kapatacağına olan inancı yansıtıyor. Bu inanç yanlış değil. Asıl yanlış olan, araçlar çalışmayı durdurduğunda çoğu kuruluşun odağını nereye verdiği.
AI destekli tespit sistemleri yetersiz kaldığında, içgüdüsel tepki algoritmayı ayarlamak, modeli yeniden eğitmek veya satıcıdan daha iyi bir ürün talep etmek oluyor. Ancak çoğu durumda gerçek suçlu, herhangi bir modelin bir olayı görmesinden çok önce veri boru hatlarında gizleniyor. Parçalanmış telemetri, tutarsız şemalar ve güncelliğini yitirmiş davranışsal temel çizgiler, kurumsal AI güvenlik sistemlerinin performansını sessizce düşürüyor. Algoritmayı düzeltmek ama veriyi düzeltmemek, girdi sürekli değişirken teraziyi yeniden kalibre etmeye benzer.
Çoğu büyük işletme temiz, birleşik güvenlik verileriyle çalışmıyor. Bunun yerine, onlarca yıllık birikmiş altyapı kararlarıyla uğraşıyorlar. Araştırmalar, ortalama bir işletmenin 29 farklı satıcıdan 83 farklı güvenlik ürünü çalıştırdığını ve SOC ekiplerinin günde yaklaşık 3.000 uyarı aldığını, bunların yüzde 63'ünün yanıtlanmadığını gösteriyor. Bu araçların her biri, kendi formatında, kendi alan adlandırma kuralları, zaman damgası standartları ve meta veri şemalarıyla telemetri üretiyor.
Bu parçalanma, AI modellerinin öğrenmesi gereken verilerde gürültü ve tutarsızlık yaratıyor. Bir güvenlik olayı farklı sistemlerde farklı şekilde kaydediliyor. Örneğin, bir oturum açma başarısızlığı bazı sistemlerde 'failed_login' bazılarında 'auth_failure' olarak geçiyor. Zaman damgaları farklı saat dilimlerinde veya farklı formatlarda (Unix timestamp, ISO 8601 vs.) saklanıyor. Bu tutarsızlıklar, AI modelinin anlamlı kalıplar çıkarmasını zorlaştırıyor ve yanlış pozitif oranlarını artırıyor.
Veri mimarisini iyileştirmek için kuruluşların öncelikle veri kaynaklarını envanterlemeleri ve standart bir şema oluşturmaları gerekiyor. Ortak bir veri modeli (örneğin, OCSF - Open Cybersecurity Schema Framework) benimsemek, farklı araçlardan gelen verileri tutarlı hale getirir. Ayrıca, veri kalitesini izlemek ve bozulmaları erken tespit etmek için otomatik doğrulama boru hatları kurulmalı. Temel davranış çizgileri düzenli olarak güncellenmeli ve anormallik tespiti için kullanılan referans verileri temiz tutulmalı.
Sonuç ve Değerlendirme
Model performansını artırmaya çalışmadan önce veri altyapısını düzeltmek, uzun vadede çok daha etkili bir stratejidir. Veri mimarisine yapılan yatırım, AI güvenlik araçlarının gerçek potansiyeline ulaşmasını sağlar ve yanlış pozitifleri azaltarak SOC ekiplerinin iş yükünü hafifletir. Unutmayın: en iyi algoritma bile kötü verilerle işe yaramaz hale gelir.
Kaynak: csoonline.com