Bizimle iletişime geçin

Siber güvenlik

Yapay Zeka Tehditleri Dikkat Dağıtıcıdır. Asıl Sorununuz Evinize Daha Yakın

mm
Yayınlanan

Dürüst olalım: Yapay zeka destekli siber saldırılar korkutucu bir ihtimal. Ancak işletmeniz için en büyük tehdit bunlar değil.

En büyük tehdit ise oyalama yaratırlar.

15 yıldan uzun süredir aynı hikayenin yaşandığını görüyorum. Liderlik, en son "yapay zeka süper tehdidi" karşısında ürküyor, güvenlik ekibi ise "En hassas müşteri verilerimiz nerede?" veya "Bu kritik sistemin yamaları kime ait?" gibi temel soruları yanıtlamakta hâlâ zorlanıyor. Biz yepyeni araçların peşinde koşarken, mühendisler son dakika uyumluluk tatbikatlarına çekiliyor ve kritik güvenlik açıkları önceliklendirilmiyor.

Bu klasik "ekran kapısında süslü bir kilit" Sorun. Kuruluşlar yapay zeka destekli savunma sistemlerini devreye almak için acele ediyor, ancak saldırganlar süreç, sahiplik ve kültürdeki temel boşlukları aşmak için daha az kural ve daha fazla çeviklikle yapay zekayı kullanıyor. Özellikle orta ölçekli şirketler için temelleri göz ardı etmek, bir sonraki uyarıcı hikayeye dönüşme davetiyesi niteliğinde.

Dinamik Bir Dünyada Statik Savunmalar Neden Başarısız Olur?

Kariyerime başladığımda güvenlik bir kontrol listesiydi: antivirüs, yamalar ve güçlü güvenlik duvarları. O dünya çoktan geride kaldı. Günümüzde ise polimorfik kötü amaçlı yazılımlar, imzalardan kaçınmak için kendini yeniden yazıyor ve botnet'ler, herhangi bir insanın yanıt verebileceğinden daha hızlı saldırılar başlatıyor.

Şifrelenmiş trafik, saldırganların en sevdiği saklanma yeri haline geldi. Zscaler'ın 2024 ThreatLabz raporu şunu ortaya koydu: Kötü amaçlı yazılımların neredeyse %90'ı artık şifreli kanallar üzerinden iletiliyorBu, on tehditten dokuzunun, trafiği denetleyemeyen eski araçlar için görünmez olduğu anlamına gelir.

Ancak gerçek darboğaz yalnızca teknoloji değil; örgütsel sürtüşmeHarika güvenlik ekiplerinin, bilinen bir açığı kapatmak için haftalarca destek almaya çalıştıklarını gördüm. Toplantıları planlamak için gereken sürede, otomatik bir saldırgan gelip gidebilir. Statik olmak artık bir seçenek değil. Güvenlik programları bağlamın farkında olmalı ve işletmenin hızlı hareket eden bölümlerine odaklanmalıdır.

Siber Suçun Endüstrileşmesi

Bu kimseyi şaşırtmamalı. Saldırganlar, bir işletmeyi yöneten girişimcilerdir. Tıpkı bizim gibi, yatırım getirilerini (YG) artırmak için yeni teknolojileri benimsiyorlar. Yapay zeka, operasyonlarını endüstriyelleştirmelerine yardımcı oluyor.

  • Sahtekarlık Hizmeti, Güçlendirilmiş: Oltalama, hâlâ 1 numaralı giriş yolu. FBI ve IBM, yıllardır en önemli ilk erişim yolu olduğunu bildiriyor. Artık "FraudGPT" gibi üretken yapay zeka araçlarıyla suçlular, daha önce hiç görmediğimiz bir ölçekte, mükemmel bir şekilde uyarlanmış, dil bilgisi kurallarına uymayan oltalama kampanyaları oluşturabiliyor.
  • Ses Yalan: Sesli kimlik avı ("vishing") patlama yaşıyor. CrowdStrike'ta bir 442% artış Saldırganlar, yapay zeka tarafından klonlanmış sesler kullanarak yöneticileri taklit ediyor ve çalışanları para transferleri konusunda kandırıyor. Bir İngiliz enerji firması, $243,000 tek bir çağrıyla bu şekilde.
  • Otomatik Düşmanın Yükselişi: CrowdStrike'ın tehdit avcıları artık uçtan uca otomatik kampanyalar görüyor: Yapay zeka tarafından oluşturulan özgeçmişlerden, deepfake video görüşmelerine, tamamen bulutta yaşayan kötü amaçlı yazılım içermeyen saldırılara kadar.

Savunmacılar, asgari düzeyde insan gözetimiyle uyum sağlayan ve kalıcı olan tehditlerle karşı karşıya. Saldırganlar yıllardır otomasyon uyguluyor; yapay zeka ise iş akışlarını daha da hızlandırdı.

Ayak uydurabilmek için, uyumluluk ve siber güvenliğe yönelik modası geçmiş, kontrol listesi odaklı yaklaşımlardan vazgeçmenin tam zamanı. Piyasadaki en yeni araçla sihirli bir çözüm aramak da çözüm değil. Bununla birlikte, bu, temellere geri dönmek için eşsiz bir fırsat.

"Uyumlu muyuz?" diye sormayı bırakın, "Dayanıklı mıyız?" diye sormaya başlayın.

Yapay zeka dünyayı yeniden şekillendirirken bile, çoğu ihlal hâlâ ihmal edilen temel unsurlardan kaynaklanıyor. Elbette, o CEO'nun sesi kopyalanmıştı, ancak asıl başarısızlık muhtemelen bozuk bir finansal onay süreciydi. Yapay zeka, gözden kaçan temel unsurlar zincirinin sadece son adımıydı.

Yapay zekanın bir şey bulması gerekmiyor sıfır gün yararlanma Beş yıllık, yama uygulanmamış bir sunucu veya her şeye yönetici haklarına sahip bir geliştirici bulabildiğinde. Yapay zeka destekli başka bir güvenlik aracı satın almak, bozuk bir kültürü düzeltmez. Yapay zeka güçlü süreçlerin yerini almamalı, onları güçlendirmeli.

Liderlik genellikle bu noktada hata yapar. "Uyumlu muyuz?" sorusunun sorulduğu yönetim kurullarında bulundum. Daha iyi soru şu: "Güvenlik programımız işimizi daha güçlü kılıyor mu?"

Uyumluluk, bir onay kutusu görevi haline geliyor. Ürün ekipleri hızla ilerliyor, mühendislere kaynak olmadan güvenlik görevleri veriliyor ve liderler temiz bir denetimin işletmenin güvenli olduğu anlamına geldiğini varsayıyor. Ancak öyle değil. Çözüm daha fazla araç değil; tepeden tırnağa daha güçlü bir yapı. Güvenlik, doğrudan işletme büyümesine ve ürün bütünlüğüne bağlı olmalıdır.

Yapay Zeka Çağı İçin Pragmatik Bir Oyun Kitabı

Fortune 500 şirketleri bu soruna para harcayabilir. Orta ölçekli şirketlerin daha akıllı olması gerekiyor. Peki, siz aslında ne yapıyorsunuz? do?

  1. Önce Temelinizi Düzeltin. Başka bir araç satın almadan önce, verilerinizin sağlam bir envanterine, sağlam erişim kontrollerine ve gerçekten işe yarayan bir yama sürecine sahip olduğunuzdan emin olun.
  2. Yapay zekayı gündemimize alalım. Yapay zeka destekli saldırılara dayalı masaüstü tatbikatları gerçekleştirin. Bunu yönetim kurulu raporlamasının düzenli bir parçası haline getirin, böylece bir BT sorunu olarak değil, bir iş riski olarak ele alınsın.
  3. Sadece Statik Sinyallere Değil, Davranışa Odaklanın. Bilinen kötü amaçlı yazılımları arayan araçlar yerine, garip aktiviteleri tespit eden araçlara (örneğin, bir kullanıcı hesabının hiç dokunmadığı bir veritabanına aniden erişmesi) öncelik verin.

Yapay Zeka Düşman Değildir - Rehavet Düşmandır

Yapay zeka iki ucu keskin bir kılıç değil, bir büyüteçtir. İyi süreçleri daha verimli, kötü süreçleri ise felaketle sonuçlanan süreçler haline getirir.

Saldırganların her zaman yeni araçları olacaktır. Asıl soru, güvenlik stratejinizin sağlam bir dayanıklılık temeline mi dayandığı, yoksa sadece bir sonraki parlak hedefi mi kovaladığıdır. "Kur ve unut" güvenlik dönemi sona erdi. Güvenlik kültürü oluşturan ve temel ilkeleri benimseyen kuruluşlar, otonom tehditler çağında bile kazanacaktır.

İlgili konular:
mm

Nicholas Muy, CISO'dur Scrut OtomasyonuUyumluluk ve yapay zeka risk yönetimi alanlarında siber güvenlik girişimlerine liderlik etmektedir. Yapay zeka destekli tehdit modelleme ve kurumsal güvenlik stratejisi alanında 15 yılı aşkın deneyime sahip olan Dr., Fortune 500 şirketlerinin ortamlarını korumuş ve ABD İç Güvenlik Bakanlığı'nda ulusal siber politikalara katkıda bulunmuştur.