Kaspersky Ortadoğu, Türkiye ve Afrika Genel Müdürü Amir Kanaan, bu soruya yanıt verirken yapay zekâ ile ilgili dikkat çekici bir ifade kullanıyor: “En gelişmiş yapay zekâ bile önceden edinilmiş ve öğrenilmiş deneyimler temelinde çalıştığı için, her türden çeşitli kötü niyetli faaliyetle mücadele edemez.” Bu ifade sadece siber güvenlik açısından değil, günümüzün fenomeni yapay zekâyı anlamak açısından da önemli. Kendi aramızda “makine öğrenmesi” olarak adlandırdığımız yapay zekâ, aslında geçmiş deneyimleri ile karar veren bir mekanizma ve alışık olmadığı şeyler karşısında insan kadar doğru kararlar alamayabilir. “Yapay zekâ işimizi elimizden alacak mı?” sorusunu soranlardan güvenlik sistemi kurgusu yapanlara kadar birçok kesim için dikkat çekici içgörüler sunan Kanaan’ın yazısına yer veriyoruz.
Siber güvenliğin çok pahalı olduğu bir sır değil. 2021’de ortalama bilgi teknolojisi (BT) güvenlik bütçesi, işletmeler için 11,4 milyon dolar ve KOBİ’ler için 267 bin dolar olarak gerçekleşti.
Yetersiz güvenlik önlemleri işletmeler açısından feci sonuçlara yol açabilir, işletmenin itibarını ve bütçesini önemli ölçüde etkileyebilir. Örneğin bir veri ihlali, büyük bir kuruluşa ortalama olarak 927 bin dolara mal oluyor ve böyle bir olaydan sonra şirket müşterilerinin yarısına kadarını kaybedebiliyor.
Bu durum önemli bir ikileme yol açıyor. Şirketler siber savunma bütçelerini azaltmak için yeni çözümler bulmaktan memnun olsa da bu alanda sunulan yeni ve daha ucuz araçların neden olabileceği bir hatanın maliyeti çok yüksek. Bu alanda otomatik olay önleme teklifleri maliyetleri azaltabilen ve insan hatası faktörünü ortadan kaldırabilen iyi bir çözüm olarak öne çıkıyor. Ek olarak, insanların bu alanda yapay zekâya bir insandan daha fazla güvenme eğiliminde olduğu da ortada.
Ancak pratikte etkili siber koruma, yalnızca otomasyona dayalı çözümler ve insan çabasının bir kombinasyonu ile mümkün. Neden?
Her şeyden önce, siber suçlar insanlar tarafından işlenir. Hepimiz gibi onlar da farklı bilişsel süreçlerin karışımına dayalı kararlar verebilir ve çevreye hızla uyum sağlayabilirler. Saldırganlar sürekli olarak güvenlik sistemlerini aşmak, yeni gelişmiş saldırı taktikleri ortaya koyarak uygulamak ve şirketin altyapısına erişmek için insanların zayıf yönlerini aktif olarak kullanabilecekleri yeni yollar bulurlar. En gelişmiş yapay zekâ bile önceden edinilmiş ve öğrenilmiş deneyimler temelinde çalıştığı için, her türden çeşitli kötü niyetli faaliyetle mücadele edemez.
Aşağıda, insan katılımını gerektiren birkaç siber güvenlik uygulamasını ele alacağım.
Karmaşık tehditlerin tespiti
En dikkatli ayarlanmış sensörler bile önceden bilinmeyen kötü amaçlı etkinlikleri tespit edemez. Bunun nedeni, bu tür saldırıların genellikle sistem yöneticisi veya genel kullanıcı eylemleriyle kolayca karıştırılabilecek bir dizi meşru eylemden oluşmasıdır. Dosyasız saldırılar, LOLBAS[1] araçlarının yoğun kullanımı, çalışma zamanı şifrelemesi, indiriciler ve paketleyiciler- bunların tümü saldırganların güvenlik çözümlerini ve kontrollerini atlatmasına yardımcı olmak için yaygın olarak kullanılıyor.
Sensörlerden gelen telemetriyi analiz eden yapay zekanın da sınırlamaları var. Farklı zamanlarda meydana gelen tüm olası verileri veya eylemleri toplayamaz ve işleyemez. Bu mümkün olsa bile, başka bir konu daha var, durumsal farkındalık. Bu terim, şu anda altyapıda yer alan tüm süreçlerle ilgili bilgilerin kullanılabilirliğini ifade eder. En basit örnek, bir AI’nın insan güdümlü bir APT olduğuna inandığı şeyi gözlemlemesi, ancak aslında takip edilenin araştırma yürüten özel bir çalışan olduğunun ortaya çıkmasıdır. Bu, yalnızca örneğin müşteriyle telefonla iletişime geçilerek ortaya çıkarılabilecek bir durumdur. Durumsal farkındalık, uyarı mantığının belirli bir saldırı tekniği davranış modeline veya anormallik analizine dayalı olup olmadığına bakılmaksızın, gerçek olayları bunun gibi yanlış-pozitif uyarılardan ayırt etmek için çok önemli.
Bu, AI’nın tehdit tespiti açısından etkisiz olduğu anlamına gelmez. Aslında AI bilinen tehditlerin tamamıyla başarılı bir şekilde mücadele edebilir ve uygun şekilde yapılandırıldığında analistlerin üzerindeki yükü önemli ölçüde azaltabilir. Kaspersky’de MDR hizmetimiz için bir makine öğrenimi (ML) analisti geliştirdik. Bu, uyarıların yanlış veya doğru pozitifler olarak sınıflandırması için etiketlenmiş geçmiş verileri kullanan denetimli bir ML algoritması. Korunan varlıklardan gelen tüm uyarılar başlangıçta bunun tarafından işlenir. Algoritmanın sınıflandırdığı etkinliklerin üçte birinden biraz fazlası belirlenmiş eşiğe göre yanlış pozitif çıkar ve inceleme için güvenlik analiz ekibine gönderilir. Bu ekipteki kişiler daha sonra yapay zeka tarafından kullanılmamış olabilecek özel duruma uygun ek yöntemler ve veriler kullanarak her uyarıyı değerlendirir. Gerçek analistler sorunu çözmenin bir yolunu bulduktan sonra, bu deneyimi makine öğrenimi analistiyle paylaşır. Böylece bir sonraki vaka AI için zorluk olmaktan çıkar.
Bu ortak kuvvet yaklaşımı, özel beceriler, yüksek dereceli analist deneyimi ve sürekli algoritma ayarlaması gerektirir. İyi haber şu ki, bunlar güvenlik ekiplerinin ünlü PrintNightmare güvenlik açığından yararlanma veya MuddyWater APT saldırısı gibi en tehlikeli durumlarla bile başa çıkmasına ve bu değerli algılama senaryolarını başkalarıyla paylaşmasına olanak tanıyor.
Yeni tehditleri belirlerken proaktif manuel tehdit avı da gereklidir. Bu, bir güvenlik ekibinin henüz keşfedilmemiş ancak şirketin altyapısında aktif olan tehditleri avlamasına olanak tanır. Proaktif tehdit avcılığı, bir kuruluşun ağdaki mevcut siber suçlu ve siber casusluk faaliyetlerini belirlemesine, bu olayların arkasındaki nedenleri ve olası kaynakları anlamasına ve benzer saldırılardan kaçınmaya yardımcı olacak azaltma faaliyetlerini etkin bir şekilde planlamasına olanak tanır.
Özetlemek gerekirse, analistlerin yapay zeka tabanlı algoritmayı sürekli olarak ayarlaması ve yeniden eğitmesi, yeni tehditleri tespit etmesini ve iyileştirmelerin verimliliğini test etmesini sağlaması gerekiyor.
Gelişmiş güvenlik değerlendirmeleri
Değerlendirmeler, bir şirketin siber güvenlik hazırlığına ilişkin ayrıntılı bir bakış açısı kazanması adına çok önemlidir. Elbette bunun için tasarlanmış otomatik çözümler var. Örneğin yaygın olarak bilinen bir güvenlik açığı değerlendirmesi, kesin olarak tanımlanmış bir dizi sistem arasında genel olarak bilinen güvenlik açıklarının keşfedilmesine yardımcı olabilir. Yine de bu hizmet zaten bilinen güvenlik sorunlarının veri tabanını kullanır. Ancak güvenlik sisteminin karmaşık saldırılara ve geleneksel olmayan düşman davranışlarına karşı dayanıklılığını test edemez.
Şirketin kendini koruyabilmesi için daha gelişmiş değerlendirme süreçleri uygulanmalıdır. Örneğin penetrasyon testi ve kırmızı ekip oluşturma gibi çoğunlukla manuel olan ve bir uzmanın bilgi ve deneyimine dayanan bir siber saldırıyı gerçekten simülasyonunu yapan hizmetler gibi. Bu yaklaşımlar tekniklerin, taktiklerin ve prosedürlerin bir karışımını kullanır ve saldırganların gerçek davranışlarını taklit ederek şirketin belirli siber savunma yeteneklerine uyum sağlar.
Güvenlik farkındalığı
Araştırmalar, ortalama bir organizasyonun her yıl 700’den fazla sosyal mühendislik saldırısıyla karşı karşıya olduğunu gösteriyor. Ayrıca zayıf parolalar ve kimlik avı e-postaları hala ilk saldırı vektörleri arasında yer alıyor. Saldırganlar trendleri takip eder ve iyi psikologlar gibi davranır. Salgından Kanye West’in yeni albümüne kadar her tetikleyicinin, düşmanlar tarafından kimlik avı e-postaları ve kötü niyetli web siteleri aracılığıyla potansiyel bir kurbanın dikkatini çekmek için kullanılacağından emin olabilirsiniz.
Siber suçlular yaratıcılıklarını ortaya koyarken, kuruluşun savunma ekibi kendilerini güvenlik farkındalığı süreçlerinden tamamen geri çekemezler. Şirketin çalışanlarının siber güvenlik politikalarının önemini ve eylemlerinin sonuçlarını net bir şekilde anlaması gerekir. Bu nedenle, yalnızca yeni ekip üyelerini işe almak için kullanılan bir farkındalık kılavuzu veya testi geliştirmek yeterli değildir. BT güvenlik ekibi, güvenlik eğitimlerinin uygunluğuna dikkat etmeli ve önemli bilgileri meslektaşlarına sunmak için yeni ve standart olmayan yaklaşımlar icat etmelidir. Bu sorunu çözmenin bir başka yolu, bu faaliyetleri, bilgilerin düzenli olarak güncellenmesini sağlayan ve ilgi çekici bir öğrenme deneyimi sunan profesyonel bir güvenlik bilinci eğitim ekibiyle dış kaynak olarak sağlamaktır.
Kimse güvenlik ekiplerinin otomasyondan vazgeçmesi veya siber suçlulara karşı “çıplak elleriyle” savaşması gerektiğini söylemiyor. Özellikle de saldırganlar, olası hedefler, kaba kuvvet parolaları hakkında bilgi toplamak için makine öğrenimini kullanarak ve fuzzing, DDoS saldırıları, kötü amaçlı yazılım oluşturma vb. yoluyla güvenlik açıklarını bulmak için otomatik çözümlere başvurarak, mümkün olduğunca etkili olmaya çalışırken.
Bunun yerine gerçek ortada bir yerde yatıyor. Yalnızca insan yaratıcılığı, becerileri ve kontrolü ile otomatikleştirilmiş çözümlerin akıllı bir karışımıyla, kapsamlı bir siber savunma sağlanabilir.
