26. yıllık BLACK HAT USA, 5 Ağustos – 10 Ağustos 2023 tarihleri arasında Las Vegas’taki Mandalay Bay Kongre Merkezi’nde gerçekleştiriliyor. Etkinliğin başlaması için tüm beceri düzeylerini kapsayan dört günlük yoğun siber güvenlik eğitimi planlanıyor.
İki günlük ana konferansta 100’den fazla seçilmiş Brifing, Arsenal’de düzinelerce açık kaynaklı araç demosu, canlı bir İş Salonu, ağ kurma ve sosyal aktiviteler ve çok daha fazlası yer alacak.
Özellikle Black Hat Brifingleri, iş ve devlet sektörleri, üniversite kurumları ve hatta yeraltı araştırmacıları dahil olmak üzere bilgi güvenliği sektörünün her köşesinden uzmanları bir araya getiriyor.
Bu yıl Black Hat, sızma testi konularını kapsayan tam günlük bir pratik sınavı içeren “Sertifikalı Pentester” programını tanıtıyor.
Yapay Zeka, Makine Öğrenimi ve Veri Bilimi Brifinginden Önemli Noktalar Sunuldu
Kimlik Avını Tasarlamak ve Tespit Etmek:
Bu Brifing Harvard’dan Fredrik Heiding tarafından sunulmuştur. Bir kullanıcıyla ilgili birkaç veri noktasına dayanarak, geniş dil modelleri kullanan yapay zeka programları otomatik olarak gerçekçi kimlik avı e-postaları oluşturabilir.
Bilgisayar korsanları tarafından deneyim yoluyla öğrendikleri birkaç kapsamlı yönergeyi kullanarak oluşturulan “geleneksel” kimlik avı e-postalarından farklıdırlar.
Bu yasaları taklit eden tümevarımsal bir model V-Triad’dır. Bu çalışmada, kullanıcıların GPT-4 tarafından otomatik olarak oluşturulan e-postalara yönelik şüpheleri ile V-triad tarafından oluşturulan e-postaları karşılaştırıyorlar.
Tam brifing burada mevcuttur.
AI Risk Politikasının Riskleri
Çalışma Microsoft’tan Ram Shankar Siva Kumar tarafından sunuldu; Harvard. Gizlilik ve güvenlik sorunlarının yanı sıra, yapay zeka sistemlerinin konuşlandırılması önyargı, eşitsizlik ve sorumlu yapay zeka başarısızlıkları olasılığını da artırıyor.
Ancak şaşırtıcı olan, yapay zeka risk yönetimi ekosisteminin ne kadar hızlı büyüdüğü: yalnızca geçen yıl standart kuruluşları tarafından yirmi bir taslak standart ve çerçeve yayınlandı ve şimdiden önemli şirketler ve artan sayıda yeni girişim, yapay zeka sistemlerini bu standartlarla karşılaştırmak için testler sağlıyor. .
Bu çerçeveler tamamlandıktan sonra kuruluşlar bunları hızla benimseyecek ve uyum görevlileri, makine öğrenimi mühendisleri ve güvenlik uzmanlarının sonunda bunları yapay zeka sistemlerine uygulamaları gerekecek.
Tam brifing burada mevcuttur.
BTD: x86 Derin Sinir Ağı Yürütülebilir Dosyaları için Derlemenin Gücünü Ortaya Çıkarma
Brifing, Ph.D. Zhibo Liu tarafından sunuldu. Öğrenci, Hong Kong Bilim ve Teknoloji Üniversitesi. Derin öğrenme (DL) modelleri, heterojen donanım cihazlarında yaygın kullanımları nedeniyle düşük seviyeli donanım ilkellerini tam olarak kullanmak için DL derleyicileri tarafından yürütülebilir dosyalara derlenir.
Bu yöntem, DL hesaplamalarının CPU’lar, GPU’lar ve diğer donanım hızlandırıcılar gibi çeşitli bilgi işlem platformlarında düşük maliyetli olarak yürütülmesini sağlar.
Bu konuşmada, derin sinir ağı (DNN) çalıştırılabilirleri için bir derleyici olan BTD’yi (Bin to DNN) tanıtıyorlar.
Tam brifing burada mevcuttur.
AWS’de İzin Patlamasını Belirleme ve Azaltma
Konuşma, Motive Baş Güvenlik Mühendisi Pankaj Moolrajani tarafından sunuldu. AWS’nin bulut altyapısı ve hizmetleri hızla büyüdü ve bu da genel izin miktarını ve güvenlik tehditlerini artırdı.
Bu oturum, AWS izin patlamasını bulmak ve azaltmak için analitik, grafik tabanlı bir yöntem önerir.
Önerilen yaklaşım, AWS IAM rolleri ve bunlara bağlı izinler hakkında bilgi toplamayı, erişim bağlantılarının bir grafik temsilini oluşturmayı ve çok sayıda izne sahip rol grupları için grafikte arama yapmayı gerektirir.
Tam brifing burada mevcuttur.
Güvenlik İncelemesinde Yapay Zeka Destekli Karar Verme Yeni Özelliklere İhtiyaç Duyar
Çalışma, Databricks Ürün Güvenliği Kıdemli Direktörü Mrityunjay Gautam tarafından sunuldu. SDLC, Microsoft’un on yıllık tanımından Çevik dönüşüme doğru evrildi ve sonunda bulut geliştirme hızına yetişmeye çalışıyor. Sektörde süreç iyi anlaşılsa da uygulama çok değişkendir.
Bir müşteri bir endişesini dile getirdiğinde ve güvenlik ekibine iletildiğinde veya en kötü senaryoda bir güvenlik olayı olduğunda, sevk edildiği sırada güvenlik etkisine sahip bir özelliği kaç kez keşfettik?
Bu konuşmada, Derin Öğrenme ve NLP teknolojilerini kullanarak bu sorunu çözmek için yeni bir yaklaşım sundu.
Tam brifing burada mevcuttur.
IRonMAN: Büyük Ölçekli Dil Modeli ve İlişkilendirme Madenciliğine Dayalı Yorumlanabilir Olay Denetçisi
Bu, Veri Bilimcisi CyCraft Technology Sian-Yao Huang tarafından sunuldu. Bağlamsal olay incelemesi ve olay benzerliği değerlendirmesi, mevcut olay incelemesinin ve proaktif tehdit avı taktiklerinin temel bileşenleridir.
Bununla birlikte, güvenilirlikleri ve rekabetçi performansları nedeniyle, modern otomatikleştirilmiş sistemler sıklıkla model ve sezgisel tabanlı tekniklere güvenir.
Bu yöntemler, olayları bağlamsal bilgilerle ilişkilendiremez ve yanlış uyarılara neden olan küçük değişiklikler yoluyla kaçmaya karşı savunmasızdır. Büyük ölçekli dil modellerindeki (LLM’ler) son gelişmeler umut verici dil temsili bulguları sağlamıştır.
Tam brifing burada mevcuttur.
LLM Destekli Tehdit İstihbarat Programı
Bu brifing, Google Cloud Mandiant Intelligence Analysis Başkanı John Miller tarafından sunuldu.
Siber güvenlik sektörü GPT-4, PaLM, LaMDA ve diğerleri gibi büyük dil modellerini (LLM’ler) araştırırken, kuruluşlar bu yeteneklerin güvenlik programları için sağlayabileceği yatırım getirisini belirlemeye çalışıyor.
Siber tehdit istihbaratı (CTI) faaliyetleri için LLM’lerin artan erişilebilirliği, herhangi bir CTI programının kuruluşunun tehdit istihbaratı taleplerini yerine getirme kapasitesinin altında yatan temel bileşenler arasındaki etkileşimi etkiler.
Tam brifing burada mevcuttur.
Saldırgan GPT’ler Oluştururken Yapılması ve Yapılmaması Gerekenler
Bu konuşma, RunSybil CEO’su ve Kurucusu Ariel Herbert-Voss tarafından sunuldu. Bu oturumda, uygulamalardaki güvenlik açıklarını ortaya çıkarmak için GPT4 gibi LLM’leri nasıl kullanıp kullanamayacağınızı gösteriyorlar ve bunu yapmanın avantajlarını ve dezavantajlarını ele alıyorlar.
LLM’lerin nasıl çalıştığı hakkında ayrıntılı olarak konuşurlar ve onları saldırı durumlarında konuşlandırmak için en son yolları sağlarlar.
Tam brifing burada mevcuttur.
Yapay Zeka Asistanları Tarafından İnsan Sömürüsünün Psikolojisi
Bu brifing Beyond Layer Seven, LLC CEO’su Matthew Canham tarafından sunuldu. ChatGPT ve GPT-4 büyük dil modelleri (LLM’ler), son 60-90 gün içinde dünyayı kasıp kavurdu.
Geçen yıl bir Google mühendisi, bir modelin duyarlı olduğuna o kadar ikna oldu ki gizlilik anlaşmasını bozdu. İki yıl önce yapay genel zekanın (AGI) yükselişinden çok az kişi endişe duyuyordu. Muhafazakar akademisyenler bile artık çok daha kısa bir süreyi savunuyor.
Tam brifing burada mevcuttur.
Azure’un Sessiz Tehditlerini Ortaya Çıkarma
Bu çalışma, Trend Micro Kıdemli Tehdit Araştırmacısı Nitesh Surana tarafından sunulmuştur. Bir Hizmet Olarak Makine Öğrenimi platformu, bulut hizmeti sağlayıcıları tarafından sağlanır ve işletmelerin makine öğrenimi operasyonlarını üstlenirken ölçeklenebilirlik ve güvenilirliğin avantajlarını kullanmalarına olanak tanır.
Bununla birlikte, bu tür AI/ML sistemlerinin dünya çapında yaygın olarak konuşlandırılması göz önüne alındığında, platformun güvenlik duruşu genellikle bildirilmeyebilir.
Katılımcılar, bu ders sırasında diğer Bulut tabanlı MLaaS sistemlerine kadar uzanabilen AML’de karşılaşılan birçok zorluk hakkında bilgi edinecekler.
Tam brifing burada mevcuttur.
AI, Hype ve Güvenlik Konulu Perspektifler
Brifing, Nvidia Baş Güvenlik Mimarı Rich Harang tarafından sunuldu. Bu yıl rekor miktarda yapay zeka yutturmaca gördü ve basına inanılacak olursa, hiçbir iş güvenli değil, güvenlik sektörü bile.
Abartılı, hızlı benimsemenin olumsuz sonuçları olduğu açık olsa da, art arda makaleler yapay zeka kullanmazsanız yerinizin değiştirileceğini iddia ettiğinde, çekiciliğe direnmek zor olabilir.
Ek olarak, mahremiyet endişeleri, planlanmış mevzuat, yasal engeller ve diğer birkaç sorun vardır. Peki, tüm bunlar güvenlik için ne anlama geliyor?
Tam brifing burada mevcuttur.
Sentetik Güven: Büyük Ölçekte Önyargılardan Yararlanma
Bu çalışma Invoca Güvenlik Mühendisi Esty Scheiner tarafından sunulmuştur. Bu ders, yapay zeka tarafından oluşturulan sesli kimlik avı saldırılarını derinlemesine inceler.
Konuşma, bu tür saldırıların psikolojik ve teknolojik bileşenlerini incelemenin yanı sıra, üretken yapay zekanın karar verme, kişisel güvenlik ve kurumsal güven üzerindeki etkilerini ve ortaya çıkan tehlikelerini ortaya çıkarmaya çalışacak.
Gerçekçi yapay zeka tarafından oluşturulmuş sesler üreten son teknoloji makine öğrenimi deneylerini araştırıyorlar. AI sesleri için olumlu kullanımlar, iletişim merkezi etkileşimlerini geliştirmeyi içerir.
Tam brifing burada mevcuttur.
Otonom Siber Saldırılara Karşı Siber Aldatma
Bu çalışma, MITRE Baş Rakip Öykünme Mühendisi Michael Kouremetis tarafından sunulmuştur. Başlangıçta ya imkansız ya da onlarca yıl uzakta olduğu varsayılıyordu. Bununla birlikte, arama ve sinir ağı sınıflandırıcılarındaki gelişmeler ve işlemedeki ilerlemeler, 2016 yılında dünyanın en büyük Go oyuncularını geride bırakabilen AlphaGo sisteminin icat edilmesiyle sonuçlandı.
Bu sunumda, eylemleri ve kararları tamamen otonom bir sistem (AI) tarafından kontrol edilen gelecekteki bir siber saldırganı ele alıyorlar.
Tam brifing burada mevcuttur.
Web Ölçekli Eğitim Veri Kümelerini Zehirlemek Pratiktir
Bu brifing, Nvidia AI Red Takım Lideri Will Pearce tarafından sunuldu. Pek çok iyi bilinen derin öğrenme modeli, sıklıkla internet yoluyla elde edilen çok büyük, dağıtılmış veri kümelerine güvenir.
Lisanslama ve diğer hususlar nedeniyle, bu veri kümeleri genellikle eğitim örneklerine erişilebilecek bir URL listesi olarak tutulur. Alan adlarının süresi dolar ve kötü niyetli bir oyuncu tarafından alınabilir.
Bu sorun, internet kaynaklı veriler üzerinde eğitilmiş StableDiffusion ve ChatGPT gibi Geniş Dilli Modelleri etkiler.
Tam brifing burada mevcuttur.
Yapay Zeka Kötü Amaçlı Yazılımlarının Ortaya Çıkışı
Güvenlik Araştırmacısı Kai Greshake brifingi sundu. Hızlı enjeksiyonların sadece bir yenilik veya sıkıntıdan daha fazlası olduğunu gösteriyorlar; yepyeni bir kötü amaçlı yazılım ve manipülasyon türü artık tamamen ChatGPT gibi devasa dil modellerinde çalışabilir.
Şirketler bunları diğer uygulamalarla entegre etmek için acele ettikçe, bu yeni teknolojilerin güvenliğini uygun şekilde değerlendirmenin önemini vurgulayacaklardır. Gelecekteki kişisel yardımcınızın nasıl bozulabileceğini ve bunun ne gibi sonuçlar doğurabileceğini öğreneceksiniz. Eksiksiz brifing burada mevcuttur.