Siber güvenlik dinamiktir, sürekli değişir ve öngörülemez. Geçtiğimiz yıl önemli sürprizler içeriyordu. 2024 yılının en büyük veri ihlali olayının hiçbir kötü amaçlı yazılım veya güvenlik açığından yararlanılmayacağını kim düşünebilirdi?
Konunun uzmanları sıklıkla yanlış tahminlerde bulunur. Geleceği tahmin etmeye çalışmak yerine, Intel 471’in geçmiş trend analizlerine ve istihbarat koleksiyonuna dayanarak 2025’in neler getirebileceğine dair öngörüleri burada bulabilirsiniz.
Yapay zeka (AI) saldırıları geliştirecek ve ölçeklendirecek.
2024 yılında, büyük dil modellerinin (LLM’ler) ne kadar geliştirilebileceği, eğitim materyallerinin sorgulanabilir bir şekilde kazınması ve LLM’lerin matematikte neden iyi olmadığına ilişkin sorularla, yapay zekaya karşı çıkanların sesi neredeyse destekçileri kadar yükseldi. Ancak yapay zeka, arama, sohbet robotları, görüntü ve metin oluşturma ve basit kodlama görevleri gibi dar odaklı görevlerde güçlü yetenekler sergiliyor. Siber suçlular ve ulus devlet aktörleri, kuruluşlara sızmaya çalışırken karşılaştıkları bazı sıradan görevlerde Yüksek Lisans’ı uygulamaya ilgi gösterdi. Microsoft ve OpenAI, Rus, İranlı, Çinli ve Kuzey Koreli tehdit aktörlerinin kullandığı hesapları devre dışı bıraktı. Bu aktörler, OpenAI hizmetlerini şirketleri araştırmak, siber güvenlik araçları bulmak, kodda hata ayıklamak, temel komut dosyaları yazmak, kimlik avı kampanyaları için içerik oluşturmak ve çeviri yapmak gibi verimliliği artırıcı görevler için kullanıyordu.
Yapay zekanın gelecek yılki seyrini tahmin etmek aptalca olurdu çünkü bu, makine öğrenimi (ML) ve yapay zeka uzmanlarını yıllar süren orta düzeyde ilerlemeyle şaşırtan ve ileri harekette ani sıçramalarla noktalanan bir alan. Yapay zeka, daha fazla kötü niyetli aktörün deney yapmasına olanak tanıyan açık kaynak modelleri aracılığıyla daha ucuz ve daha erişilebilir hale geliyor. Bu, forumlarda daha özelleştirilmiş yapay zeka araçlarının sunulmasıyla sonuçlandı. Kısacası riskler zaten burada.
Tehdit aktörleri (henüz) yapay zeka ile saldırılar yazmıyor olsa da, ister gösterişli kimlik avı, daha iyi seçilmiş hedefler veya daha hızlı ve daha eksiksiz keşif yoluyla olsun, saldırıların ölçeğini ve kalitesini arttırması nedeniyle üretkenlik kazanımları endişe vericidir. Ayrıca, ülkeler kendi Yüksek Lisanslarını geliştirdikçe, ulus-devlet düşmanlarının Yüksek Lisans’ları nasıl kullandıklarına dair görünürlük azalacak. Yerel olarak geliştirilen LLM’lerin OpenAI kadar iyi olmadığı şu andaki mevcut durum, OpenAI ve Microsoft’a tehdit aktörlerinin faaliyetlerine ilişkin öngörülü bir pencere sağlıyor. Aktörlerin istemleri girmesi gerekiyor ve tüm bu istemler nereden geldiklerine, ne sorduklarına ve olası hedeflerine göre ilişkilendirilebilir ve analiz edilebilir. Bu, komplo kurarken düşmanların omzunun üzerinden bakmak gibidir. Ancak bu pozisyon uzun sürmeyecek.
Kötü amaçlı yazılım dağıtımı geri dönecek.
2024’ün en önemli emniyet operasyonlarından biri olan Endgame Operasyonu, diğer kötü amaçlı yazılımları indirebilen başlangıç aşaması enfeksiyonları olan çeşitli “damlalık” veya “yükleyici” kötü amaçlı yazılım türlerini hedef aldı. Operasyon, tehdit aktörlerinin sonunda fidye yazılımına, veri hırsızlığına veya daha fazla yasa dışı faaliyete yol açabilecek diğer kötü amaçlı kodları dağıtmak için kullandıkları IcedID, SystemBC, Pikabot, SmokeLoader ve Bumblebee’ye odaklandı. Operasyon dört kişinin tutuklanmasına ve dünya çapında 100’den fazla sunucunun kapatılmasına yol açtı. Hedeflenen kötü amaçlı yazılım ailelerinin dolaşıma girmesiyle bu eylem hemen başarılı oldu. Bu kolluk kuvvetleri operasyonları, kötü amaçlı yazılım dağıtım altyapısını yeniden oluşturmanın zaman, çaba ve para gerektirmesi nedeniyle tehdit aktörlerine maliyet getirmektedir.
Intel 471’in patentli kötü amaçlı yazılım emülasyonu ve izleme sistemi, ikinci ve üçüncü çeyrek arasında iletilen yüklerde keskin bir düşüş gösterdi; başka bir deyişle, kötü amaçlı yazılımların diğer kötü amaçlı yazılımları dağıttığı gözlemlendi. Bu, kesintilerin bir sonucu olabilir. Yükleyici veya bırakıcı kötü amaçlı yazılımların dağıtımı, takip eden saldırılar için kritik öneme sahip olduğundan, güvenliği ihlal edilmiş makinelere erişim konusunda pazarda bir talep vardır. Intel 471, hedeflenen bir kötü amaçlı yazılım ailesi olan Bumblebee’nin Ekim 2024’te yeni bir sürümün piyasaya sürülmesiyle geri döndüğünü gözlemledi. Bumblebee kampanyası, kötü amaçlı yazılım kampanyasının altyapısını ortadan kaldırmanın, onun kalıcı olarak ortadan kaldırılmasını garanti etmediğini bir kez daha kanıtlıyor. Düşük etkinlik sergilemelerine ve önemli ölçüde karmaşıklık ya da benzersiz dağıtım yöntemlerinden yoksun olmalarına rağmen, geliştirmede gözlemlenen değişiklikler, aktörlerin kötü amaçlı yazılımlarını aktif olarak iyileştirdiklerini gösteriyor. Genel kötü amaçlı yazılım dağıtımının 2025’te artmasını bekliyoruz.
Artan jeopolitik gerilim siberi etkileyecektir.
Jeopolitik olaylar ve siber güvenlik giderek daha da iç içe geçiyor. Saldırgan siber eylemler, ülkeler tarafından casusluk, fikri mülkiyet (IP) hırsızlığı, çatışma durumunda önceden konumlandırma ve yanlış bilgi yayma amacıyla kullanılıyor. Çin, hükümeti ve sivil altyapıyı geniş ölçekte hedef aldığı için en zorlu düşmanlardan birini temsil ediyor. ABD FBI Direktörü Christopher Wray, Çin’in “diğer tüm büyük ulusların toplamından daha büyük bir bilgisayar korsanlığı programına sahip olduğunu” söyledi. Aslında, FBI’ın siber ajanlarının ve istihbarat analistlerinin her biri yalnızca Çin tehdidine odaklansaydı, Çin’in bilgisayar korsanlarının sayısı yine de FBI siber personelinden en az 50’ye 1 oranında üstün olurdu.” Ukrayna’da ezici bir savaş kampanyası sürdüren Rusya, tedarik zincirlerine sızma ve büyük yazılım sağlayıcılarının risklerini aşma konusunda sürekli olarak uzmanlıklarını ortaya koyan uzun süredir devam eden ve son derece etkili gelişmiş kalıcı tehdit (APT) gruplarına sahip.
Trump’ın üst üste olmayan ikinci bir dönem için seçilmesi, ABD Adalet Bakanlığı’nın siber bağlantılı soruşturmaları yürütme biçimini değiştirebilir. En az on yıldır bakanlık, hem ulus devlette hem de mali motivasyonlu siber suç alanlarındaki Rus, Çinli, İranlı ve Kuzey Koreli tehdit aktörlerini tespit etme, isimlendirme, yaptırım uygulama ve suçlama konusunda agresif davrandı. ABD’nin tehdit aktörlerini eylemlerinden dolayı kamuoyu önünde sorumlu tutma yaklaşımında algılanan bir zayıflama, daha agresif faaliyetlere kapı açabilir. Bununla birlikte, siber güvenlik, ABD’nin giderek daha düşmanca bir siyasi ortamda genel olarak partizan olmayan az sayıdaki konudan biri olmuştur; bu nedenle bakanlığın, tehdit aktörlerini sorumlu tutma konusunda sıkı çalışmasını sürdürmesi gerekebilir.
Reklam