Siber suçların kedi-fare oyununda suçlular neredeyse her zaman arkalarında dijital kırıntılar bırakır. Karanlık ağda yayınlanan, övülen veya satılan her sızdırılmış kimlik bilgisi bir iz oluşturur.
Araştırmacılar, açık, derin ve karanlık ağı izlemek, milyarlarca günlük olayı oluşturmak ve potansiyel tehditleri analiz etmek için uzun süredir tehdit istihbaratı platformlarına güveniyor. Tipik bir kuruluş, 10 ila 50 farklı tehdit istihbaratı akışından veri alabilir. Ancak 2024 ve 2025’teki büyük bilgi hırsızlığı faaliyeti birçok SOC’yi bunalttı.
Büyük dil modellerinin (LLM’ler) denklemi değiştirdiği yer burasıdır. Analistlerin XSS, Exploit.in veya RAMP’teki yüzlerce forum gönderisini manuel olarak ayrıştırması yerine, GPT destekli araçlar bunları toplu olarak tarayabilir. Doğru değişkenleri çıkarmak için modelleri yönlendiren deneyimli analistlerle birlikte bir araştırmacı ekibi, konuşmaları incelemek ve özetlemek, çalınan kimlik bilgilerini işaretlemek ve enfeksiyon yollarını %96 doğruluk oranı, %90 hassasiyet ve %88 geri çağırma ile haritalamak için GPT-3.5-turbo’yu kullandı.
Yüksek Lisans’lar, kötü niyetli etkinlikleri hızlı bir şekilde ortaya çıkarma konusunda büyük umut vaat ediyor, ancak gerçek SOC ortamlarında ne kadar ölçeklenebilirler?
Siber suçlular “hacklemek” yerine “giriş yapıyor”
Siber suçlular, kurban ortamlarında en az dirençle karşılaşılacak yolu tercih ederek geçerli hesapların kötüye kullanılmasını tercih edilen bir erişim aracı haline getiriyor. Kuruluşun ön kapısını korumayı amaçlayan kurumsal tek oturum açma (SSO) portalları bile kötü amaçlı yazılım günlüklerinde ortaya çıkıyor. Güvenliği ihlal edilen bu hesaplar, hassas veritabanlarına ulaşmak için yanal hareket ederek ayrıcalıkları yükseltmek için dayanak sağlayabilir.
Ancak bu tür bir “kolay girişin” fark edilmesi zordur ve kuruluşları, meşru kullanıcı davranışını ağlarındaki kötü niyetli etkinliklerden ayırmak için karmaşık yöntemler kullanmaya zorlar. Ocak 2025’te Flare, 22 milyondan fazla hırsız günlüğüne karşı beş ortak kurumsal SSO sağlayıcısını aradı ve 312.855’in üzerinde açığa çıkan kurumsal SSO uygulama alanını tespit etti. Bunlar paylaşıldıktan sonra herhangi bir bilgisayar korsanı, çok sayıda kuruluştaki bu hesaplara erişmeye çalışabilir.
Serpinti yıkıcı olabilir. 2021 ile 2023 yılları arasında tedarik zinciri saldırıları %431 oranında şaşırtıcı bir artış gösterdi. IBM, 2025 yılında bir veri ihlalinin küresel ortalama maliyetinin 4,4 milyon dolar olduğunu hesapladı. Sızıntıların ihlale dönüşmesini önlemek için savunucuların görevi, çalınan kimlik bilgilerini karanlık ağın arka sokaklarında bilgisayar korsanlarından önce bulmaktır; her zaman her yerde bulunmayı gerektiren imkansız bir yarış.
Yüksek Lisans Neler Yapabilir?
ChatGPT, Gemini veya Microsoft Copilot gibi insan dilini geniş ölçekte anlamak, işlemek ve oluşturmak için tasarlanmış bir tür yapay zeka olan LLM’ler, şu veya bu şekilde her işletmeye dokunuyor. 2024’te 5,72 milyar dolar değerinde olan pazarın, 2025’ten itibaren %35,92’lik bir Bileşik Büyüme Oranı (CAGR) ile artarak 2034’te 123,09 milyar dolara ulaşması bekleniyor.
Carnegie Mellon Üniversitesi, güçlerini yanlış ellerde test etmeye yönelik bir deneyde, yüksek lisans öğrencilerini 2017 Equifax ihlaline yol açan koşulların aynısını yeniden yaratmaya teşvik etti. Yalnızca saldırıyı planlamakla kalmadı, aynı zamanda doğrudan insan komutları olmadan kötü amaçlı yazılım dağıttı ve verileri çıkardı.
Bilmekle tehdit ederken, öne çıkan ders, bir Yüksek Lisans’ın, istemi kadar iyi olduğudur. İyi hazırlanmış sorgular amacı eyleme dönüştürerek modeli tam olarak araştırmacıların ihtiyaç duyduğu verileri çıkaracak şekilde yönlendirir.
Bu ihtiyaç, sızdırılan kimlik bilgilerinden kaynaklanan tehditleri ortadan kaldırmak olduğunda, araştırmacılar bunu temel siber tehdit istihbaratı (CTI) sinyalleri için karanlık web forumlarını taramak üzere uygulayabilir: yasa dışı satış faaliyetleri, büyük kuruluşlardan bahsetmeler, kritik altyapı veya ilk erişim, istismar edilebilir güvenlik açıkları, jeopolitik tartışmalar, teknolojiler ve endüstriler. Bu bilgilerin kodlanması, analistlerin belirli teknolojileri veya sektördeki güvenlik açıklarını hedef alan tehditler gibi önemli konuşmaları filtrelemesine ve bunlara odaklanmasına yardımcı olur.
Araştırmacılar, yüksek kaliteli kaynakların seçilmesini, konuşmaların özetlenmesini ve temel değişkenlerin kodlanmasını içeren çok adımlı bir süreçte Yüksek Lisans’ların çalışma kapasitesini test etti. Günlük konuşmalardan oluşturulan özetler, çok sayıda mesaj yayınlandığında bile ilgili bilgilere odaklanıyordu. Analistler bazen bu tür önemli bilgileri bile gözden kaçırıyorlardı.
Hukuk Yüksek Lisansı (LLM) SOC’ye Hazır Nasıl Yapılır?
Şu anda yapay zekayı seven siber güvenlik yöneticileri ile ona güvenmeyen siber güvenlik analistleri arasında bir kopukluk var. Son araştırmalar, yöneticilerin %71’inin yapay zekanın üretkenliği önemli ölçüde artırdığını bulduğunu, ancak bu araçları kullanan ön saflardaki analistlerin yalnızca %22’sinin aynı fikirde olduğunu gösteriyor.
Düzgün kullanılmazsa, Yüksek Lisans’ın güvenilmezliği faydalarından daha ağır basabilir. Girdilerin nasıl bölümlere ayrıldığı, kavramların nasıl tanımlandığı ve hangi zamanların kullanıldığı, sonuçları etkiler. Yüksek Lisans’lar “sadece çözemezler.” Onlar insan değiller, dolayısıyla insan benzeri akıl yürütme veya sezgi beklememelisiniz. Bunun yerine, onlara güçlü ama gerçek makineler gibi davranın.
İyi sonuçlar istiyorsanız şunları sağlamanız gerekir:
- Talimatları temizle: Ne istediğinizi adım adım açıklayın.
- İlgili bağlam: Bir insan analistin görevi anlaması için ihtiyaç duyacağı arka plan ayrıntılarını paylaşın.
- Karar verme kriterleri: seçenekler arasında nasıl öncelik verileceğini, değerlendirileceğini veya seçim yapılacağını tanımlayın
Bunu bu şekilde düşünün, yetenekli bir insanın işi yapmak için ihtiyaç duyacağı her şeye, LLM’nin de ihtiyaç duyduğu her şey, yalnızca açık girdi şeklindedir. Uzmanlığınızı ve sezginizi talimatlara ve bağlama ne kadar iyi dönüştürürseniz, Yüksek Lisans bu görevi o kadar güvenilir bir şekilde yerine getirebilir.
Yüksek Lisans’lar hızla siber araştırmacının en çok yönlü varlığı haline geliyor; suçluların takas yaptığı, övündüğü ve planlar yaptığı forumları dikkatle izliyor. Bu pazarlarda saldırganlar, kimlik bilgileri dökümleri ve yeniden kullanılan kötü amaçlı yazılımlar gibi, özenli manuel analiz gerektiren izler bırakır. Artık Yüksek Lisanslar, bir tehdidin en hafif yankısını neredeyse gerçek zamanlı olarak tespit etmek için milyonlarca gönderinin taranmasına yardımcı oluyor. En etkili ekipler, modelin ne arayacağını bilmesi için LLM’leri açık talimatlara ve bağlama bağlayan istemler oluşturmalıdır; bir güvenlik açığından yararlanıldı mı, yoksa yalnızca tartışıldı mı? Yönetilebilir parçalara bölünmüş konuşmalar, nüansların korunmasına ve bağlam kaybının önlenmesine yardımcı olacaktır.
Bu şekilde kullanıldığında, insan gözünün üzerinde gezinip çıktıyı doğruladığı Yüksek Lisans Eğitimleri, güvenlik ekiplerinin, kapıları ihlal etmeden önce tehditlerin şeklini belirlemelerine yardımcı olur. Teknoloji güçlüdür, ancak bir atılımı çıkmaz sokaktan ayıran şey hız değil, direksiyondur.
Yazar Hakkında
Estelle Ruellan, TEM şirketi Flare’de Tehdit İstihbaratı Araştırmacısıdır. Kriminoloji geçmişi olduğundan siber suçlara doğru yolunu kaybetmiş. Siber tehdit ekosistemini anlamlandırmak için veri bilimini kullanmaya odaklanıyor.
Estelle’e https://www.linkedin.com/in/estelle-ruellan-946778206/ adresinden çevrimiçi olarak ulaşılabilir.