Siber güvenlikte savunucularla saldırganlar arasındaki silahlanma yarışı hiçbir zaman sona ermez. Sürekli olarak yeni teknolojiler ve stratejiler geliştirilmekte, güvenlik önlemleri ile hackleme teknikleri arasındaki mücadele devam etmektedir. Bu hiç bitmeyen savaşta, siber güvenlik tedarikçisi Deep Instinct’in CIO’su Carl Froggett, siber tehditlerin değişen ortamına ve bunlarla başa çıkmanın yenilikçi yollarına dair içgörülü bir bakış sunuyor.
Değişen bir siber tehdit ortamı
Froggett’e göre birçok kuruluşun hâlâ boğuştuğu temel konu, teknolojinin temel hijyeni. Envanterin görünürlüğü, yama uygulanması veya BT ortamının hijyeninin korunması gibi pek çok kişi hâlâ mücadele ediyor.
Ancak tehditler bu temel endişelerin ötesinde büyüyor. Kötü amaçlı yazılımlar, fidye yazılımları ve tehdit aktörlerinin evriminin karmaşıklığı arttı. Saldırıların hızı oyunu değiştirdi ve çok daha hızlı tespit ve tepki süreleri gerektirdi.
Dahası, WormGPT gibi üretken yapay zeka teknolojilerinin ortaya çıkışı, derin sahte ses ve video kullanan karmaşık kimlik avı kampanyaları gibi yeni tehditleri de beraberinde getirerek hem kuruluşlar hem de güvenlik uzmanları için ek zorluklar ortaya çıkardı.
İmzalardan Makine Öğrenimine – Geleneksel Yöntemlerin Başarısızlığı
Güvenlik sektörünün gelişimi kesinlikle büyüleyici olmuştur. 80’li ve 90’lı yıllarda imzalara duyulan güvenden yalnızca birkaç yıl önce makine öğreniminin benimsenmesine kadar olan yolculuk, sürekli adaptasyon ve savunmacılar ile hücumcular arasındaki bitmek bilmeyen kedi fare oyunuyla damgasını vurdu. Örneğin imzaya dayalı uç nokta güvenliği, tehditlerin daha az olduğu ve iyi tanımlandığı durumlarda iyi çalıştı, ancak İnternet’teki patlama ve tehditlerin çoğalması ve karmaşıklığı, çok daha karmaşık bir yaklaşımı gerektirdi.
Uç nokta tespiti ve müdahalesi (EDR) gibi geleneksel koruma teknikleri, gelişen bu tehditlere ayak uydurmada giderek daha fazla başarısız oluyor. Eski imza tabanlı algılama tekniklerinin yerini alan makine öğrenimi tabanlı teknolojiler bile geride kalıyor. Mücadele etmek için tasarlandıkları tehditler kadar hızlı gelişen güvenlik çözümlerinin bulunması önemli bir zorluktur.
Carl, EDR’nin ürettiği uyarıların ve yanlış pozitiflerin büyük hacmini vurguladı; makine öğrenimindeki zayıflıkları, sınırlı uç nokta görünürlüğünü ve EDR’nin yürütme öncesi önlemek yerine yürütme sonrası engellemeye odaklanan reaktif doğasını ortaya çıkardı.
Makine öğrenimi, güvenlik yeteneklerinde çok ihtiyaç duyulan bir sıçramayı sağladı. Statik imza tabanlı tespitin yerini zamanla eğitilebilecek ve geliştirilebilecek dinamik modellerle değiştirerek, gelişen tehdit ortamına daha çevik bir yanıt sundu. Tehdit tespiti ve müdahalesinde önemli ilerlemeler sunan, kitle kaynak kullanımı, akıllı paylaşım ve buluttaki analizlerle daha da güçlendirildi.
Ancak saldırıların artan başarısının da gösterdiği gibi, makine öğrenimi tek başına yeterince iyi değil. Sürekli İnternet bağlantısı olmadan koruma düzeyleri önemli ölçüde düşecektir; bu da makine öğrenimi tabanlı teknolojilerin büyük ölçüde tehdit istihbaratı paylaşımına ve gerçek zamanlı güncellemelere bağımlı olduğunu gösterir. Bu nedenle tespit-analiz-yanıt modeli, imzalardan daha iyi olmasına rağmen, modern siber tehditlerin yoğunluğu ve karmaşıklığı altında çökmeye başlıyor.
Fidye Yazılımı: Büyüyen Bir Tehdit
Bu başarısız modelin göze çarpan bir örneği, fidye yazılımı saldırılarındaki dramatik artışta görülebilir. Zscaler’e göre geçen yıl küresel fidye yazılımı saldırılarında %40’lık bir artış yaşandı ve bunların yarısı ABD kurumlarını hedef aldı. Makine öğreniminin yetersizliği, daha gelişmiş ve daha hızlı teknikler kullanılarak tespit edilen 25 yeni fidye yazılımı ailesiyle artık görünür hale geliyor. Yalnızca makine öğrenimine güvenmek, tehditlerin hızlı gelişimine ayak uyduramayan bir gecikme yarattı.
“Saldırıların infazından sonra engellenmesinin artık yeterli olmadığını kabul etmeliyiz. Saldırganların gerisinde değil, önünde olmalıyız. Derin öğrenmeyi temel alan, öncelikli önleme yaklaşımı yalnızca tehditleri engellemekle kalmaz; daha çevreye girmeden onları durduruyor.” Carl’ı ekledi.
Derin Öğrenme Devrimi
Froggett’a göre bir sonraki evrimsel adım derin öğrenmedir. Mevcut verilerin önemli bir kısmını atan ve belirli özelliklere ağırlık atamak için insan müdahalesini gerektiren makine öğreniminin aksine, derin öğrenme mevcut verilerin %100’ünü kullanır. İnsanlar gibi öğrenir ve kötü amaçlı yazılım türlerinin tahmin edilmesine ve tanınmasına olanak tanır; bu, bizlerin, belirli bir türü daha önce hiç görmemiş olsak bile, insanların farklı köpek türlerini köpek olarak nasıl tanıdığımıza benzer.
Derin öğrenmenin kapsamlı yaklaşımı, Froggett’in tanımladığı gibi, bir tehdidin ‘DNA’sına’ kadar tüm özelliklerini hesaba katıyor. Bu bütünsel anlayış, bir tehdidin yüzey özelliklerindeki mutasyonların veya değişikliklerin modeli karıştırmaması ve tespit ve önlemede daha yüksek bir başarı oranına olanak sağlaması anlamına gelir. Derin öğrenmenin sürekli güncellemelere ihtiyaç duymadan öğrenme ve tahmin etme yeteneği, onu siber güvenlikte bir sonraki büyük adım olarak öne çıkarıyor.
Deep Instinct, siber güvenlik için bu derin öğrenme tekniklerini kullanıyor. Geleneksel kitle kaynak kullanımı yöntemlerinden farklı olarak modelleri, sanki ilk kez bir tehditle karşılaşıyormuş gibi çalışıyor. Bu, her şeyin sıfır gün olayı olarak ele alındığı ve dış veritabanlarına dayanmadan kararların verildiği bir yaklaşıma yol açmaktadır.
Bu derin öğrenme yaklaşımının ilginç bir yönü, düşünüldüğü kadar hesaplama açısından yoğun olmamasıdır. Deep Instinct’in müşteri verilerini kullanmadan tek başına çalışan patentli modeli, hızlı ve verimli bir şekilde karar verme yeteneği açısından benzersizdir. Diğer makine öğrenimi tabanlı çözümlerin aksine Deep Instinct’in çözümü daha verimlidir, gecikmeyi azaltır ve CPU ve disk IOPS’sini azaltır. Her şeyin dahil olduğu aracı, hız ve verimliliği ön plana çıkararak sistemlerinin daha hızlı karar vermesini sağlar.
Deep Instinct, ihlalleri meydana gelmeden önce önlemeye odaklanarak oyunu yavaş tespit ve tepkiden proaktif önlemeye dönüştürüyor.
“Çözümümüzün güzelliği yalnızca tehditleri algılamaması değil; Froggett röportajımız sırasında şunu belirtti: “Onları önceden tahmin ediyor. İşte nasıl:
- Derin Öğrenmeyi Kullanma: Derin öğrenme algoritmalarından yararlanan ürün, geleneksel yöntemlerin çok ötesinde kalıpları ve anormallikleri ayırt edebilir.
- Uyarlanabilir Koruma: Her kuruluşun benzersiz profiline göre özelleştirilmiş olup, tehdit ortamına göre gelişen uyarlanabilir koruma sunar.
- Eşsiz Doğruluk: Çözüm, en son teknolojiye sahip derin öğrenme algoritmalarını kullanarak tehdit tespitinde daha yüksek doğruluk sağlar ve hatalı pozitifleri en aza indirir.
Güvenlik Uzmanlarına Tavsiyeler: Zorlu Arazilerde Gezinmek
Froggett’in güvenlik profesyonellerine yönelik tavsiyeleri pratik bilgeliğe dayanmaktadır. Varlık yönetimi, envanter yamalama ve tehdit analizi gibi temel BT hijyeninin gerekliliğini vurguluyor. Ayrıca proaktif kırmızı ekip oluşturmanın, sızma testlerinin ve tüm savunma katmanlarının düzenli olarak değerlendirilmesinin gerekliliği göz ardı edilemez.
CIO aynı zamanda hızlı inovasyon ve merkezi olmayan yönetim nedeniyle kuruluşlardaki merkezi kontrolün azaldığı “sola kayma” olgusunun zorluğunu da kabul ediyor. Çözüm, iş stratejilerinin düzeltilmiş risk duruşlarıyla dengelenmesinde ve artan güvenlik açıklarının kapatılmasına odaklanılmasında yatmaktadır.
Sonuç: Yeni Bir Önleme Çağı
Siber güvenliğin mevcut gidişatı, makine öğrenimine ve geleneksel tekniklere güvenmenin tek başına yeterli olmadığını gösteriyor. Kötü amaçlı yazılım ve fidye yazılımlarındaki hızlı büyüme ve üretken yapay zeka kullanan saldırıların karmaşıklığının artmasıyla birlikte yeni bir yaklaşıma ihtiyaç duyuluyor. Derin öğrenme bu devrim niteliğindeki adımı temsil ediyor.
Siber güvenliğin geleceği, bildiğimizi sandığımız şeyleri askıya almakta ve derin öğrenme gibi yeni ve uyarlanabilir metodolojileri benimsemekte ve böylece önleme öncelikli güvenlikte yeni bir çağa öncülük etmekte yatmaktadır.
Reklam