Kimlik avı yıllarca sadece bir sayı oyunuydu: Kötü niyetli bir aktör, son derece genel (ve genellikle kötü yazılmış) bir e-postayı bir araya getiriyor ve birkaç kişinin yemi yutabileceği umuduyla onu binlerce alıcıya gönderiyordu. Ancak zamanla, spam filtreleri ve diğer e-posta güvenlik araçları bu tür e-postaları filtrelemede giderek daha etkili hale geldikçe, tehdit aktörleri bu teknolojileri atlatmak için yeni tekniklere uyum sağladı ve bunlardan yararlanmaya başladı.
Bu yeni teknikler arasında ortak olan, kimlik avına yönelik hem nicelik hem de niteliğin vurgulandığı daha dengeli bir yaklaşıma geçişti. Bu değişim, hedef odaklı kimlik avı ve iş e-postasının ele geçirilmesi (BEC) gibi bugün çok iyi bildiğimiz gelişmiş kimlik avı tekniklerinin ortaya çıkmasına neden oldu. Geçmiş yılların kimlik avı taktiklerinden farklı olarak bu teknikler, belirli bireyleri, grupları veya kuruluşları aldatmak için çok daha dikkatli hazırlanmış, ikna edici mesajlar kullanır.
Kimlik avı felsefelerindeki bu değişim, muhtemelen günümüzün daha yetenekli e-posta güvenlik çözümlerinin tespitini önlemek için, kimlik avı e-postalarında kötü amaçlı yüklerin (yani bağlantılar veya ekler) kullanımında da hızlı bir düşüşe yol açtı. Daha dikkatli hazırlanmış, dar hedefli saldırılara yönelik daha büyük eğilimle birlikte ele alındığında, kendimizi eski moda sosyal mühendisliğin giderek daha fazla hakim olduğu bir tehdit ortamında buluyoruz.
Bu “dengeli” kimlik avı teknikleri bir süredir yükselişte olsa da bunların ölçeklenebilirliği, hedeflerin araştırılması ve ikna edici e-postaların hazırlanması gibi zaman alıcı, emek yoğun süreçler nedeniyle tarihsel olarak sınırlıydı. Bununla birlikte, üretken yapay zekanın (GenAI) ortaya çıkışıyla, kimlik avı hızı ve ölçeği üzerindeki huniyi etkili bir şekilde tersine çevirmesiyle ölçek üzerindeki bu doğal kısıtlama artık geçmişte kaldı gibi görünüyor.
İlginç bir şekilde, araştırmacılar 2021’den bu yana GenAI’nin kimlik avı kampanyalarını güçlendirme potansiyelinin farkındaydı; hatta bazıları OpenAI’nin ChatGPT’sinin çok daha kısa sürede önemli ölçüde daha karmaşık ve etkili kimlik avı e-postaları oluşturma yeteneğini gösteren araştırmalar yayınladı.
Hemen ertesi yıl, ChatGPT 30 Kasım 2022’de halka açıldı. İki aydan kısa bir sürede sıfırdan 100 milyon aktif kullanıcıya ulaşarak tüm zamanların en hızlı büyüyen tüketici uygulaması oldu. GenAI teknolojileri de neredeyse aynı hızla modern bilgisayar korsanlarının cephaneliğindeki en zorlu araçlar arasında yerini buldu.
Üretken yapay zeka, kimlik avı baraj kapaklarını açıyor
Şimdi, GenAI araçlarının ana akıma girmesinden bu yana bir yıldan fazla bir süre sonra, bir zamanlar kimlik avı içeriği oluşturmayı kontrol altında tutan kalite ve miktar arasındaki geleneksel dengeyi tamamen altüst etmeyi başardılar. Bu teknolojiler sayesinde, saldırganlar artık ustalıkla yazılmış sosyal mühendislik içeriğini yalnızca birkaç saniye içinde zahmetsizce oluşturabiliyor. Belki daha da endişe verici olanı, kötü niyetli aktörlerin GenAI araçlarını kullanarak çeşitli formatlarda, tarzlarda ve dillerde içerik üretebilmesi ve operasyonlarını ölçeklendirmek için onlara benzeri görülmemiş çok yönlülük ve bant genişliği sunabilmesidir.
Günümüzün önde gelen ticari GenAI araçlarının tümü, kötü amaçlı kullanımı önlemek için tasarlanmış güvenlik önlemlerine sahip olsa da, son araştırmalar, bu güvenlik bariyerlerinin kolaylıkla atlatılabileceğini defalarca göstermiştir. Dahası, güvenlik topluluğu FraudGPT ve WormGPT gibi açıkça kötü amaçlar için tasarlanmış GenAI araçlarının ortaya çıkışına tanık oldu.
Bu araçlar, yalnızca dilbilgisi açısından doğru olmakla kalmayıp aynı zamanda metni çeşitli dillere, bağlamlara ve iletişim tarzlarına uyarlayabilen, son derece kişiselleştirilmiş hedef odaklı kimlik avı ve BEC saldırılarının gelişimini otomatikleştirerek tehdit aktörlerini güçlendirir. Ayrıca bu araçlar, kişisel ayrıntılar, tercihler, davranışlar ve kapsamlı şirket verileri de dahil olmak üzere hedefler hakkındaki bilgileri hızlı bir şekilde toplayarak açık kaynaklı istihbarat (OSINT) toplanmasını hızlandırır.
Yapay zeka kaynaklı tehditler geliştikçe, OpenAI gibi kullanıcıların özel GenAI araçları oluşturmasına olanak tanıyan son gelişmeler potansiyel bir endişe nedeni haline geliyor. Bu tür bir kişiselleştirme potansiyeli, kötü aktörlerin, aracın öngördüğü güvenlik önlemleri dahilinde çalışırken bile kimlik avı sürecinin daha fazla yönünü otomatikleştirmesine olanak tanıyabilir.
Hangi yönden bakarsanız bakın bent kapakları açılıyor gibi görünüyor. Gerçekten de araştırmamız oldukça net bir tablo çiziyor; 2022’nin 2. çeyreğinden 2023’ün 2. çeyreğine kadar BEC girişimleri Amerika Birleşik Devletleri’nde %23 ve küresel olarak %21 arttı. Bu arada, gelişmiş e-posta saldırıları genel olarak 2023’ün yalnızca ilk iki çeyreğinde %24 arttı.
Kuruluşların büyük çoğunluğu hazır değil
Maalesef kuruluşların önemli bir çoğunluğu, ortaya çıkan bu kimlik avı tehditlerine karşı hazırlıksız görünüyor. ISC2 tarafından rapor edildiği üzere, bugün çoğu kuruluşun karşı karşıya olduğu endişelerin başında rekor düzeyde siber güvenlik iş gücü açığı geliyor ve dijital varlıkları korumak için dünya çapında ilave 4 milyon profesyonele ihtiyaç duyulacağı tahmin ediliyor. Aynı rapor, günümüzde kuruluşların neredeyse yarısının (%48) siber olaylara etkili bir şekilde müdahale edecek araç ve yeteneklere sahip olmadığını ortaya koyuyor.
Ayrıca ISC2 çalışması, günümüzün siber güvenlik profesyonellerinin mevcut tehdit ortamı konusunda kendilerine pek güvenmediklerini gösteriyor. Şaşırtıcı bir şekilde bunların %75’i mevcut tehdit ortamının son beş yılda karşılaştıkları en zorlu durum olduğunu iddia ediyor ve %45’i önümüzdeki iki yıl içinde yapay zekanın (AI) en büyük zorluğu oluşturacağını öngörüyor. Bu görünüm, kuruluşların siber güvenlik savunmalarını güçlendirmeleri ve siber tehditlerin hızla gelişen doğasına uyum sağlamalarının aciliyetinin altını çiziyor.
Analizimiz, yalnızca 2022’de 8 milyondan fazla kimlik avı girişiminin yerel savunmalardan başarıyla kaçtığını ortaya çıkardı. Şaşırtıcı bir şekilde, bu kötü amaçlı mesajların yaklaşık %88’i “bilinmeyen tehditler” olarak sınıflandırıldı; bu, kötü amaçlı bağlantılar veya ekler içermeyen, yalnızca sosyal mühendislik taktiklerine dayanan gelişmiş kimlik avı saldırıları anlamına gelir.
Yapay zekayla geliştirilmiş güvenliğin zorunluluğu
Yükselen gelişmiş kimlik avı tehditleriyle mücadele etmenin tek güvenilir yolunun, ateşe ateşle karşılık vermek, yani bu hızla değişen, gittikçe zorlaşan bu duruma karşı savunma önlemleri olarak yapay zeka ve makine öğrenimi destekli e-posta güvenlik çözümlerinden yararlanmak olduğu giderek daha açık hale geliyor. tehdit manzarası.
Yapay zeka ve makine öğrenimi destekli çözümler, yalnızca tehditleri (daha önce bilinmeyen tehditler dahil) doğrudan tespit etme konusunda daha yetenekli olmaları değil, aynı zamanda öğrenme ve uyum sağlama yetenekleri açısından da benzersiz olmaları ve etkinliklerinin zaman içinde artmasını sağlamaları açısından benzersizdir. Dahası, bu çözümler, yapay zekanın belirli kullanıcıların davranış profillerini oluşturma ve ince ayar yapma yeteneğinden yararlanıyor; böylece, ele geçirilen bir hesabın ve diğer kimliğe bürünme türlerinin göstergesi olabilecek anormal etkinlikleri daha güvenilir bir şekilde tespit edebiliyorlar.
Bu nedenle, kaba muhasebe müdürü Bob size bir faturadaki ödemenin yeniden yönlendirilmesiyle ilgili alışılmadık derecede samimi bir e-posta gönderdiğinde, yapay zeka destekli güvenlik araçları bu düzensizliği tanıyacak ve potansiyel olarak kötü amaçlı olarak işaretleyecektir. Zamanla, bu araçlar bir kuruluşun iletişimine giderek daha fazla maruz kaldıkça, kelime seçimi, sözdizimi, cümle yapısı ve uzunluğu gibi anormalliklerin yanı sıra bir insan okuyucunun en çok anlayacağı sayısız diğer parametreyi tespit etmede de daha iyi hale gelirler. muhtemelen gözden kaçırmıştır.
Bununla birlikte, yapay zeka destekli güvenlik araçları, çalışanların kurumsal güvenliğin daha etkili ve güvenilir savunucuları olmalarına yardımcı olmak için insan personeli değiştirmek yerine güçlendirmek için kullanıldığında en etkili yöntemdir. Bunu yapmanın sıklıkla gözden kaçırılan yollarından biri, SOC ekiplerinin günlük operasyonlarını kolaylaştırmak ve güvenlik profesyonellerinin önemli miktarda zamanını ve enerjisini tekeline alan sıkıcı rutin görevleri otomatikleştirmektir.
Sonuç olarak, yapay zeka destekli araçlar benzersiz uyarlanabilirlik, verimlilik ve algılama yetenekleri sunarken, aynı zamanda dünyamızın kolektif güvenlik duruşu için çok önemli olan, genellikle aşırı çalışan, bunalmış ve yetersiz personele sahip SOC ekiplerinin hayatını kolaylaştırır.
Yapay zeka destekli saldırıların artan karmaşıklığı göz önüne alındığında, uyarlanabilir yapay zeka tarafından geliştirilmiş e-posta güvenliği çözümlerine olan ihtiyaç açıkça ortaya çıktı.
Ayrıca çalışanların yapay zekayla geliştirilmiş e-posta güvenlik araçlarıyla nasıl işbirliği yapabileceklerini keşfetmek de önemlidir. Yapay zeka güvenliği önemli ölçüde artırsa da kusursuz değildir. Çalışanlar, işaretlenen e-postaları incelemede, bağlam için e-posta sohbet robotlarıyla etkileşimde bulunmada ve güvenliği aşabilecek son derece karmaşık e-postaları yakalamak için içgörüleriyle katkıda bulunmada kritik bir rol oynuyor. Bu insan-yapay zeka işbirliği, kötü amaçlı e-postalara karşı daha kapsamlı bir savunma sağlarken yanlış pozitiflik riskini de en aza indirerek sonuçta bir kuruluşun siber güvenlik duruşunu güçlendirir.
İnsan içgörüsü: E-posta güvenliği yardımcı pilotu
Her CISO, doğru yapay zeka güvenlik araçlarını dağıtmanın yanı sıra, güvenlik farkındalığı eğitimine ve kimlik avı simülasyon testine de öncelik vermelidir. Kimlik avı taktikleri geliştikçe çalışanlar, şirketlerinin yeni saldırılara karşı son savunma hattı haline gelebilir. Trend olan kimlik avı taktikleri hakkında daha geniş bir çalışan bilgisi oluşturmak için sürekli eğitim ve test programları geliştirmek ve uygulamak çok önemlidir.
Etkili bir eğitim programının sonuçta neye benzeyeceği büyük ölçüde kuruluşunuzun benzersiz ihtiyaçlarına bağlı olacaktır. Ancak bu koşullar ne olursa olsun, herhangi bir programın başarılı olması için aşağıdaki üç nitelik şarttır:
1. Frekans: Geleneksel yıllık farkındalık eğitimleri kesinlikle yeterli değildir. İşgücünün güvenliğini ön planda tutmak için sürekli ve düzenli eğitim şarttır.
2. Uygunluk: Eğitim ve simülasyonlar güncel kalmalı ve mevcut tehdit ortamını ve en son saldırı metodolojilerini yansıtmalıdır. Çalışanların günümüzün tehdit aktörleri tarafından aktif olarak kullanılan taktikleri tanıyabilmesini ve bunlara yanıt verebilmesini sağlayacak gerçek dünyadaki saldırı senaryoları temel oluşturmalıdır.
3. Kişiselleştirme: Geleneksel güvenlik farkındalığı eğitimi, bir kuruluş genelinde ortak bir bilgi temeli oluşturmak için gerekli olsa da, çalışanların hem belirli bilgi hem de güvenilirlik açısından farklılık göstereceğini kabul etmek önemlidir. İlk adım olarak şirketler, her çalışan için bir performans temeli oluşturmak amacıyla kimlik avı simülasyon testini kullanmalıdır. Buradan kuruluşlar, deneyimlerine, bilgilerine, departmanlarına, unvanlarına vb. dayalı olarak her çalışana özel olarak tasarlanmış daha hedefe yönelik eğitim simülasyonları sunabilir.
Çözüm
Kimlik avı saldırılarının ortamı son yıllarda önemli ölçüde gelişti; tehdit aktörleri, birçok eski e-posta çözümünün koruyamayacağı ölçek ve karmaşıklığa sahip belirli bireyleri, grupları veya kuruluşları hedef alan daha gelişmiş teknikler kullanıyor. Saldırganlar, en dikkatli profesyonelleri bile aldatacak ikna edici mesajlar oluşturmak için kamuya açık bilgileri kullanarak saldırılarını kişiselleştirme konusunda ustalaştılar.
Gelişen bu tehditlere karşı savunma yapmak için kuruluşların ve profesyonellerin uyanık ve proaktif kalması gerekiyor. Buna sürekli eğitim ve öğretim ile yapay zeka destekli sağlam e-posta güvenlik çözümlerinin uygulanması da dahildir. Kuruluşlar bilgili ve hazırlıklı kalarak bu gelişmiş kimlik avı tekniklerine karşı güvenlik açıklarını önemli ölçüde azaltabilir ve değerli varlıklarını siber suçlulardan koruyabilir.