Bu yardımcı net güvenlik görüşmesinde, X-Phy CEO’su Camellia Chan, mali sahtekarlık ve siyasi dezenformasyonda kullanımları da dahil olmak üzere gerçek dünya olaylarındaki derin dişlerin tehlikelerini tartışıyor. Yapay zeka odaklı savunma stratejilerini açıklar ve olay müdahale planlarının ve iç politikaların güncellenmesini, algılama araçlarını entegre etmenizi ve AB’nin DORA gibi düzenlemelere sorumluluğu azaltmak için uyum sağlamasını önerir.
Saldırganlar, varsayımsal olarak ve bu taktikler ne kadar makul hale gelse bile, gerçek dünyadaki olaylarda derin dişleri nasıl kullandılar?
Finansal sahtekarlıktan siyasi dezenformasyona kadar her şeyde kullanılan derin dişler gördük. Daha endişe verici eğilimlerden biri, saldırganların CEO’lar veya politikacılar olarak poz vermek için sentetik ses veya video kullandıkları kimliğe bürünme dolandırıcılığı.
2020 yılında Hong Kong’da, bir banka yöneticisinin şirket müdürü olduğuna inandığı birinden telefon görüşmesi aldıktan sonra 35 milyon dolar aktarmak için kandırıldığı dikkate değer bir örnek meydana geldi. Fraudster, yöneticinin sesini mükemmel bir şekilde taklit etmek için AI tabanlı ses klonlama kullandı ve isteği ikna edici e-postalar ve belgelerle destekledi. Bu dava, finans sektöründeki en eski ve en yüksek profilli örneklerden biriydi.
Bu sadece bir örnek, ancak son zamanlarda, şirketlerin derin ince video görüşmelerine dayanan büyük miktarda para aktarmak için kandırıldığı artan sayıda rapor gördüm – bazı ortaklarımız, müşterilerimiz ve hatta dahili personelim bunu bir endişe olarak vurguladı. Açıkçası, bunlar artık varsayımlar değil – şimdi oluyorlar ve bunları yaratma araçları giderek daha erişilebilir.
Taktikler son derece akla yatkındır çünkü görsel ve işitsel bilgilere olan güvenimizden yararlanırlar. Söylemeyi hatırlıyor, görmek inanıyor mu? Artık bunu söyleyemeyiz. İnsanlar kanıt olarak gördüklerine ve duyduklarına güvendikleri sürece, bu saldırıların doğru araçlar olmadan hem etkili hem de tespit edilmesi zor olacaktır.
AI, DeepFakes’a karşı savunmada nasıl bir rol oynuyor? Bunun için özel olarak tasarlanmış umut verici modeller veya mimariler var mı?
AI, DeepFakes söz konusu olduğunda hem sorun hem de çözümdür. Bir yandan sentetik ortamın yaratılmasına güç verir. Öte yandan, en iyi savunma hattımız. Gelişmiş makine öğrenme modelleri, özellikle çok modlu AI, doğal olmayan yanıp sönme ve yüz tutarsızlıklarından uyumsuz görsel-işitsel ipuçlarına kadar ince, sofistike manipülasyon belirtilerini tespit etmede giderek daha etkili hale geliyor. AI kullanmanın değeri, tehditler daha hedefli ve dinamik hale geldikçe, daha iyi gizlilik ve daha hızlı yanıt süreleri ile gerçek zamanlı olarak koruma sağlama yeteneğinde yatmaktadır.
Kullanılan bazı umut verici AI modelleri, evrişimsel sinir ağları (CNN’ler), uzun kısa süreli bellek ağları (LSTMS) ve kapılı tekrarlayan birimler (GRUS). CNN’ler görsel verilerdeki dakika detaylarını analiz etmek için kullanılır, LSTMS ve GUS, görsel-işitsel senkronizasyonu izlemek için bellek tabanlı AI modelleridir.
Derin peynir tespiti de giderek daha geniş güvenlik ekosistemlerine entegre edilmektedir; burada, donanımdan verilere kadar her katmanın özgünlük için bir kontrol noktası görevi görür ve hayati bir güven katmanı ekler. Derin keçe algılamasını sağlam uç nokta güvenliği ile birleştirerek kuruluşlar, her cihazın dijital iletişimin bütünlüğünü hızlı, özel olarak ve hassas içeriği buluta iletmeye gerek kalmadan doğrulamak için donanımlı olmasını sağlayabilir.
Kuruluşlar olay müdahale planlarını Deepfake senaryolarını içerecek şekilde nasıl güncellemelidir?
Diğer siber tehditler gibi derin dişleri tedavi edin ve sıfır tröst zihniyeti uygulayın. Bu, hiçbir şeyin gerçek olduğunu varsayma, çünkü göründüğü veya ikna edici olduğu anlamına gelir.
Yanıt planınızı, özellikle hassas eylemler talep etmek için kullanılıyorsa, video veya ses içeriğini doğrulamak için adımlar içerecek şekilde güncelleyin. Yönetici iletişimi, finansal onaylar veya müşteri etkileşimleri gibi kritik iş süreçlerini hedeflemek için derin dişlerin nasıl kullanılabileceğini düşünen bir risk modeli oluşturun. Ekibinizin kırmızı bayrakları nasıl tespit edeceğinizi, kimin uyarılacağını ve olayı nasıl belgeleyeceğini bildiğinden emin olun.
Ortamı gerçek zamanlı olarak tarayabilen ve inceleme için bayraklı içeriği kaydedebilen algılama araçlarını kullanın. Ne kadar hızlı tanımlayabilir ve hareket ederseniz, o kadar çok hasar önleyebilirsiniz. Bugünün ortamında, önce sorgulamak ve ancak doğruladıktan sonra güvenmek daha güvenlidir.
Derin kek saldırıları riskini azaltmak için kuruluşlar hangi iç politikalar koymalıdır?
Kuruluşlar doğrulama, tespit ve yükseliş konusunda açık politikalar koymalıdır. Para, kimlik bilgileri veya gizli verileri içeren herhangi bir hassas talep, geri arama veya ikincil onay gibi ekstra doğrulama gerektirmelidir.
Derin keçe farkındalığı düzenli eğitime yerleştirilmelidir, böylece çalışanlar uyarı işaretlerini erken tespit edebilirler. Tespit araçlarını, şüpheli medyayı gerçek zamanlı olarak tarayarak ve işaretleyerek ekipleri desteklemek için daha hızlı, daha güvenli kararlar vermelerine yardımcı olmak.
Olay müdahale planları, bir derin bir perfekten şüpheleniliyorsa, kanıtların nasıl artacağını, kanıtlanacağını ve iletişim kurmayı da kapsamalıdır.
Günün sonunda, olağandışı iletişimin sorgulanması istisna değil norm haline gelmelidir.
Bir şirket derin bir kaleme kurban ederse sorumluluk veya uyumluluk maruziyeti riski var mı? Bu planlamaya nasıl dahil edilmelidir?
Evet, kesinlikle – özellikle veri sızdırılırsa veya para kaybolursa. Düzenleyiciler, şirketlerin bu tür sahtekarlığı önlemek için makul adımlar atmasını bekliyor. AB’nin Dijital Operasyonel Dayanıklılık Yasası (DORA) gibi yasalar uyarınca, kuruluşların kişisel verileri korumak ve siber tehditlere karşı operasyonel esnekliği sağlamakla yükümlüdür. Derin peynir güdümlü saldırılara karşı öngörme veya korunmaması, sorumluluk, para cezası ve itibar hasarı riskini artırabilir.
Bu nedenle siber güvenliğinize ve risk planlamanıza derin köpek balığı dahil etmek önemlidir. Hukuk ekibinizle çalışın, süreçlerinizi güncelleyin ve sistemlerinizin ve personelinizin hazır olduğundan emin olun. Bir şey olursa, ciddiye aldığınızı ve hazırlandığınızı göstermek istiyorsunuz.