RSA KONFERANSI 2024 – San Francisco – 2024’e yalnızca beş ay kaldı ve bu yıl siber güvenlik uygulayıcıları için yoğun bir yıl oldu. çok yıllı tedarik zinciri saldırılarıulus-devlet aktörlerinin istismar ettiği ağ geçitlerinde birden fazla güvenlik açığı ve uç cihazlar ve birden fazla fidye yazılımı olayı aykırı büyük sağlık kuruluşları. Yılın geri kalanında neler olacak?
Geçen haftaki RSA Konferansında SANS Teknoloji Enstitüsü başkanı Ed Skoudis, SANS Enstitüsü eğitmenleri ve akademisyenlerinden oluşan yıllık panel Yılın geri kalan aylarında siber savunucuların akıllarında kalması gereken konulara değinmek.
Skoudis katılımcılara şunları söyledi: “Bu, yılın en sevdiğim paneli çünkü gerçek uzmanlardan vahşi doğada neler olup bittiği ve organizasyonlarımızı daha emniyetli ve emniyetli hale getirmek için bu konuda neler yapabileceğimiz hakkında bilgi alıyoruz.”
Şaşırtıcı olmayan bir şekilde yapay zeka (AI), panel tarafından belirlenen tehditlerin neredeyse tamamı için yinelenen bir temaydı. İşte SANS uzmanlarının işaretlediği ve işletmelerin endişelenmesi gereken ilk beş tehdit.
Teknik Borcun Güvenlik Etkisi
Teknik borcun geride bıraktığı güvenlik çatlakları, acil ve yeni bir tehdit gibi görünmeyebilir, ancak SANS Teknoloji Enstitüsü araştırma dekanı Dr. Johannes Ullrich’e göre kurumsal yazılım yığını, art arda gelen sorunlar için bir dönüm noktasında. Dahası, “Yalnızca kurumsal uygulamalarımızı değil aynı zamanda güvenlik yığınımızı da giderek daha fazla etkiliyor” dedi.
Teknik borç, yazılım mühendisliği veya sistem tasarımında, asgari düzeyde uygulanabilir bir ürünü bugün çalışır duruma getirmek uğruna yarım bırakılan veya yarına ertelenen iş birikimidir. Borç, hız veya maliyet nedenleriyle optimize etmek amacıyla kasıtlı olarak tahakkuk ettirilebilir veya olgunlaşmamış yazılım mühendisliği uygulamaları nedeniyle kasıtsız olarak birikebilir. Her iki durumda da borç büyüdükçe tonlarca siber güvenlik riski ortaya çıkıyor.
Ullrich’e göre artan teknik borç tahakkukları, yazılım tedarik zincirinin artan karmaşıklığıyla birleşerek bu tehdit vektörünün profilini artırıyor.
“Ben de bir geliştirici olarak şunu söylemek çok kolay: ‘Hey, bu yeni kitaplık aslında hiçbir yeni özelliğe sahip değil ve herhangi bir güvenlik açığını gidermiyor, bu yüzden bu güncellemeyi uygulamayacağım” diyor. “Sorun şu ki, bundan beş yıl sonra, 10 ila 15 farklı artımlı güncellemeyi atladıktan sonra, büyük bir güvenlik açığı kütüphaneyi vuruyor ve şimdi yıllar içinde biriken tüm bu küçük tuhaflıklar üzerinde çalışmanız gerekiyor. düzelt.”
Yapay Zeka Çağında Sentetik Kimlik
Yeni kimlik bilgilerinin başlangıcında ve kimlik doğrulama için kimliğin kanıtlanması, güvenlik endüstrisi için onlarca yıldır süren bir mücadele olmuştur. Ullrich, bu mücadelenin yapay zeka çağında daha da güçlenerek devam edeceğini açıkladı.
Ullrich, insanları taklit etmek için sahte videolar ve sahte seslerin kullanıldığını ve bunların son on yılda güç kazanan biyometrik kimlik doğrulama yöntemlerinin çoğunu boşa çıkaracağını söyledi.
“Bugün oyunun kurallarını değiştiren şey bu taklitlerin kalitesi değil” dedi. “Ezber bozan şey maliyettir. Bunu yapmak ucuz hale geldi, oysa geçmişte oldukça pahalıydı. Şimdi bu sahteleri yaratmak için onbinlerce dolar yerine birkaç dolar gerekiyor.”
Yapay zeka tarafından oluşturulan sentetik medya, güvenlik tedarikçilerinin kayıt ve kimlik doğrulamanın yanı sıra oturum açma sırasındaki anlaşmazlıkları azaltmaya yardımcı olmak için yaptığı birçok yeniliği altüst ediyor. Örneğin, onlyfakes.com adlı bir web sitesi yalnızca sahte kimlikler oluşturmakla kalmıyor, aynı zamanda kimliği doğrulamak için ehliyet veya benzeri kimlikler için çekeceğiniz fotoğrafa benzeyen resimler de oluşturuyor.
Ullrich, “Birinin bu fotoğrafı evinde çekmiş gibi görünen bir halı veya tahta parçası gibi bir arka planı var” diye açıkladı. “Ve bu zaten bazı mali yardımlarla yerleşik kimliği çevrimiçi ortamda taklit etmek için kullanıldı.”
Kendisi, bu durumun yakın vadede güvenlik uygulayıcıları ve satıcıları üzerinde sektörün riske dayalı kimlik doğrulamasını nasıl yaptığını yeniden düşünmeye devam etmeleri konusunda baskı oluşturacağı konusunda uyarıyor.
Seks şantajı
SANS öğretim üyesi ve kıdemli yöneticisi Heather Mahalik Barnhart, üçüncü büyük tehdidin, SANS’in genellikle ele aldığı diğer kurumsal odaklı sorunlarla karşılaştırıldığında biraz şok edici olduğunu ancak sektörün dikkatini gerektiren ciddi bir tehdit olduğunu söyledi. Cellebrite’ta topluluk katılımı.
“Her yıl buraya geliyorum ve beyninizi farklı bir şekilde mahvetmeye çalışıyorum ve muhtemelen bu konunun yapacağı da bu, çünkü bu kimsenin varlığını kabul etmek istemediği keskin bir tehdit” diye açıkladı. “Bu bir seks şantajı, çılgına dönüyor ve giderek kontrolden çıkıyor.”
Barnhart’a göre suçlular, internet sakinlerini cinsel resim veya videolarla giderek daha fazla şantaj yapıyor ve mağdurun istediklerini yapmaması halinde onları serbest bırakacakları tehdidinde bulunuyor. Yapay zeka tarafından oluşturulan son derece ikna edici görsellerin çağında, bu resimlerin veya videoların zarar vermesi için gerçek olmasına bile gerek yok.
Barnhart, “Gerçek şu ki bu siz olabilirsiniz. Ben olabilirim. Çocuklarınız olabilir. İş arkadaşlarınızdan biri olabilir” dedi ve seks şantajının genç intiharlarıyla, özellikle de 10-10 yaş arasındaki erkek çocuklar arasında giderek daha fazla bağlantılı hale geldiğini açıkladı. 14.
Ve bu sadece kişisel bir tehdit değil. Bu aynı zamanda işletme için de varoluşsal bir risk oluşturabilir.
“Şimdi şunu bir düşünün. Eğer bu iş arkadaşlarınızdan biriyse, bu kuruluşunuz açısından ne anlama geliyor?” dedi. “Yapay zeka olsun ya da olmasın bir görüntü ortaya çıkarsa ve ‘Bunu LinkedIn’e koyacağım. Bu şirketinizin web sitesinde yayınlanacak. YouTube’da yayınlanacak. Aksi takdirde her yere gidecek’ diyorlar. sen bana X’i sağlıyorsun.” İnsanlar X’i sağlamayı düşünecek ve bu korkutucu bir şey.”
Bu X, şirkete erişim sağlamada para veya işbirliği olabilir. Mesele şu ki, ne kadar müstehcen ve kişisel görünse de, seks şantajı kurumsal bağlamla çok alakalı. Barnhart, büyüyen bu tehdide yönelik kolay bir yanıtın bulunmadığını ancak bununla mücadelede atılacak ilk adımların kesinlikle farkındalık ve eğitime dayanması gerektiğini söyledi.
“Neden gasp konusunda eğitim vermiyoruz? Doğası gereği cinsel olmak zorunda değil, genel olarak şantaj” dedi ve işletmelerin kimlik avı önleme eğitimine tonlarca para harcadığı gibi, bu konuda da eğitim almaları gerektiğini vurguladı. ayrıca şantaj karşıtı eğitime yatırım yapmayı da düşünün.
GenAI Seçim Tehditleri
2024’ün arka yarısına doğru ilerlerken, ABD seçimleri çevrimiçi topluluklarda, sosyal medya paylaşımlarında ve haber yayınlarında giderek daha fazla dikkat çekecek. SANS eğitmeni ve AWS güvenlik mühendisi Terrence Williams, manşetlere ve yorum başlıklarına hakim olurken, sahte medya manipülasyonu ve yapay zeka tarafından oluşturulan diğer üretken seçim tehditlerinin tüm büyük platformlarda her zaman mevcut olacağı konusunda uyardı.
Williams alaycı bir şekilde şaka yaptı: “Bize GenAI nimetini artı bir seçim sunduğu için 2024’e teşekkür edebilirsiniz.” “Bu tür şeylerle ne kadar iyi başa çıktığımızı biliyorsun, bu yüzden şu anda neyle karşı karşıya olduğumuzu anlamamız gerekiyor.”
Williams, deepfake medya tehdidinin artık geleceğe yönelik bir tehdit olmadığını, bunun şu an ve burada olan bir tehdit olduğu konusunda uyardı. GenAI artık meşru nedenlerle özel kampanya öğeleri oluşturmak ve otomatik otomatik çağrı kampanyalarını güçlendirmek için kullanılabilir, ancak aynı zamanda seçmenleri yanıltmak ve onları tuhaf uydurmalarla beslemek için de kullanılabilir. Ve bu, seçim sürecine olan zaten zayıf olan güveni daha da zedelemeye devam edecek. Bunun cevabı güvenlik araştırmacıları, akademi, teknoloji oyuncuları ve siyasi paydaşlar arasındaki işbirliğinde olacaktır.
“Şu anda akademik çevremiz bir görüntünün veya videonun yapay zeka tarafından üretilip üretilmediğini tespit eden bir şeyi nasıl geliştirebileceklerini görmek için araştırma yapıyor” dedi. “Umarım bu, yeni çözümlerini piyasaya sürdüklerinde vatandaşlar olarak güvenebileceğimiz bir tür güvenlik ağının olmasını sağlamak için yenilik yapan teknoloji şirketleri için zamanında mevcut olacaktır.”
Williams, ortalama seçmenlerin “güven ama doğrula” çağında olduğumuzu anlamalarını sağlamanın kamu ve özel sektör çıkarlarına bağlı olduğunu, bunun da insanların kaynaklar ve kullandıkları gerçekleri kontrol etme konusunda titiz olmaları gerektiği anlamına geldiğini ekledi. Aynı zamanda yenilikçilerin ve politikacıların da teknolojiye ve bilgiyi yayan süreçlere güvenlik önlemleri alma konusunda sorumlu tutulması gerektiğini söyledi.
Tehdit Çarpanı Olarak Saldırgan Yapay Zeka
Son olarak, beşinci en büyük tehdit, SANS üyesi ve uzun süredir saldırı güvenliği araştırmacısı olan Stephen Sims tarafından ortaya çıkarılan, mevcut siber tehditlerin bir çarpanı olarak saldırgan yapay zekaydı. Saldırgan yapay zeka, tehditleri daha hızlı tanımlamak ve açıklardan yararlanma ve saldırı kampanyalarının oluşturulmasını otomatikleştirmek için kötü adamlar tarafından yapay zeka ve otomasyonun kullanılmasıdır. GenAI daha karmaşık hale geldikçe, en teknik olmayan siber saldırganların bile artık kötü amaçlı kampanyaları hızlı bir şekilde başlatıp yürütmek için parmaklarının ucunda daha esnek bir araç cephaneliği var.
Sims, “Artık zayıf noktaları keşfetme ve bunları silah haline getirme hızımız son derece yüksek ve giderek de hızlanıyor” dedi.
Saldırgan güvenlik araştırmasının, GenAI’nin yama “farkını” otomatikleştirmeyi veya yamalarla ilgili ikili dosya sürümleri arasındaki değişiklikleri tanımlamayı son derece basit hale getirdiğini gösterdiğini ve bu sayede tam olarak bir güvenlik düzeltmesinin yapıldığı yerde tersine mühendislik yapılmasını mümkün kıldığını söyledi. henüz yama yapılmamış sistemlerde kullanmak için. Benzer şekilde GenAI, bu yamaların silah haline getirilmesini hızlandırabilir; Sims, otomasyon araçlarıyla birleştirildiğinde, “normalde manuel olarak yapmamız çok uzun sürecek teknik işlerin” tamamını yapmanın kolay olduğunu söyledi.
“Yani eğer bir defans oyuncusuysanız, büyük çıkarım şu: [You have to think about] Karşı karşıya olduğumuz hıza, otomasyona ve giderek daha iyi hale gelecek olan zekaya karşı nasıl savunma yapabileceksiniz” dedi. “Savunmada da aynı otomasyon tarzını yapabiliriz taraf.”