Geçtiğimiz günlerde altı günümü Las Vegas’ta geçirdim ve DEF CON, BsidesLV ve Black Hat USA 2024’e katıldım. Burada dünyanın önde gelen güvenlik uzmanlarından bazılarıyla tanışma ve onlardan öğrenme fırsatı buldum.
Üç konferansın da ana teması AI’nın mevcut durumuydu. Birçok oturumda AI’nın sektörümüzü nasıl dönüştürdüğüne odaklanıldı, konuşmacılar hem güçlü yanlarını hem de sınırlamalarını ele aldı ve çeşitli kullanım yollarını araştırdı.
Yapay zekanın güvenlik uygulamalarını şüphesiz dönüştürdüğü halde, henüz insan rollerinin yerini almaya hazır olmadığı açık. Bunun yerine, tartışmalar yapay zekanın işimizi ele geçirmek yerine nasıl geliştirebileceğine kaydı. Örneğin, DEF CON’da, SANS Saldırı Harekatı müfredat lideri Stephen Sims, dar tanımlanmış görevler için uzmanlaşmış yapay zeka ajanları veya LLM ajanları nasıl geliştirdiğini anlattı ve görev ne kadar spesifik olursa yapay zekanın o kadar etkili performans gösterdiğini buldu. Yapay zekanın kendisine güvenlik açığı keşfi ve istismarında nasıl zaman kazandırdığını vurguladı ancak işini değiştirmeyeceğini doğruladı.
Black Hat’te, Signal’in kurucusu Moxie Marlinspike ve Black Hat’in kurucusu Jeff Moss ile Fireside Chat’i özellikle beğendim. Güvenlik ve gizlilik arasındaki karmaşık dengeleri araştırdılar, bu kararlara dair örnekler ve içgörüler sundular.
Kişisel bilgi korumasına öncelik vermenin önemini vurguladılar ve bu çabada siber liderlerin rolünü tartıştılar. Ayrıca Moxie, çevik metodolojilerin neden olduğu parçalanmayı vurgulayarak ve geliştiricilerin inovasyonu yönlendirmek için kendi alanlarında derin bilgiye sahip olmalarını savunarak yazılım geliştirme uygulamalarına değindi. Bir yazılım şirketinin vizyonunu oluşturan liderlerin mühendislik hedefleriyle işbirliği yapma ve örtüşme ihtiyacını vurguladı.
Tedarik zinciri saldırıları ve yazılım malzeme listesi (SBOM) de Black Hat’te önemli konular arasındaydı; yazılım geliştirme yaşam döngüsünün güvenliğini sağlama, bağımlılıkları ele alma ve yeni güvenlik çözümlerini keşfetme konularında çeşitli konuşmalar yapıldı.
Konferanslardaki en cesaretlendirici tartışmalardan biri, Microsoft Windows’un giderek daha zor istismar edilebilir hale gelmesinde kaydettiği ilerlemeye odaklandı. Bu, Microsoft’un güvenlik ekiplerinin işletim sistemini çok çeşitli saldırılara karşı güçlendirmek için yıllarca süren özverili çalışmalarını yansıtan önemli bir başarıdır. Geliştirilmiş bellek korumaları gibi özellikler çıtayı yükseltti ve saldırganların Windows’daki güvenlik açıklarını bulup istismar etmesini çok daha zor hale getirdi.
Ancak bu olumlu gelişme, özellikle IoT cihazlarında olmak üzere diğer alanlardaki temel güvenlik açıklarının devam eden varlığıyla dengelendi. Öne çıkan bir konuşma, bir IoT kamerasındaki basit bir web komut enjeksiyonu açığını ortaya koydu ve bu da cihazın tamamen ele geçirilmesine olanak sağladı. Bu açık, daha karmaşık sistemlerin güvenliğini sağlamada önemli ilerlemeler kaydedilmiş olsa da, son derece yaygın olarak kullanılan en yaygın ve görünüşte basit teknolojilerin çoğunda temel güvenlik açıklarının devam ettiğini hatırlatıyor.
Sektör profesyonelleriyle yaptığım görüşmelerde, özellikle bulanıklaştırma ve kapsamlı ürün güvenliği değerlendirmeleri gibi gelişmiş test teknikleri söz konusu olduğunda, kaynak tahsisinin zorluğu tekrar eden bir temaydı. Bu yöntemler, gizli güvenlik açıklarını ortaya çıkarmak ve güvenlik önlemlerinin sağlamlığını sağlamak için kritik öneme sahiptir, ancak genellikle yeterince kullanılmazlar – özellikle daha zorlu ekonomik zamanlarda.
Birçok şirket bu faaliyetlerin getirdiği potansiyel değeri kabul ediyor ancak kaynakların (hem finansal hem de insan) sınırlı olduğu bir ortamda zor kararlarla karşı karşıya kalıyorlar. Sonuç olarak, kuruluşlar genellikle daha kapsamlı güvenlik testleri pahasına, doğrudan acil iş ihtiyaçlarıyla uyumlu yatırımlara öncelik verme eğilimindedir. Bu takas, belirli güvenlik açıklarının ele alınmadan kalmasına ve şirketlerin ileride daha büyük risklere maruz kalmasına neden olabilir.
Geri bildirimler, bazen yenilik ve hıza yönelik baskının kapsamlı güvenlik incelemesine duyulan ihtiyacı gölgede bıraktığı, şirketlerin hâlâ mücadele ettiği daha geniş bir sektör eğilimini vurguladı.
Genel olarak, konferanslar teknoloji gelişirken saldırganlar ve savunucular arasındaki temel kedi-fare dinamiğinin sabit kaldığı fikrini güçlendirdi. Saldırganlar finansal fırsatları kullanmaya ve savunma sınırlarını zorlamaya devam ediyor, bu da yeni güvenlik önlemlerinin geliştirilmesini sağlıyor.
Güvenlik önlemleri daha da gelişmiş ve iyileşmiş olsa da, bir sektör olarak, hala onlarca yıldır başımıza bela olan aynı insan hatalarından büyük ölçüde muzdaripiz. Yapay zeka iş akışlarımızı, veri analizlerimizi ve hızımızı iyileştirmeye devam etse de, yakında insanın yerini almayacak – ironik olarak, bu insan unsuru genellikle tehdit aktörlerinin şirketlerimize sızmasına yol açan şeydir.