AI manşetlere hükmediyor. ChatGPT, özellikle, günün konusu haline geldi. Herkes yeniliğe, dikkat dağıtıcı şeylere kapılır. Ancak kimse odadaki fili ele almıyor: Büyük dil modellerinin (LLM’ler) ne kadar silah haline getirilebileceği ve kullanılacağı.
İnternet, inanılmaz derecede büyük ve karmaşık hale geldi ve en değerli taç mücevherlerimizi açığa çıkardı. On yıl önce bir şirketin tek bir web sitesi varken, bugün bir saldırganın IP’yi sızdırmak ve/veya ağlarına ve sistemlerine girmek için kullanabileceği, bilinmeyen ve izlenmeyen varlıklar ve yan kuruluşlarla dolu düzinelerce web sitesi olabilir. Yaptığımız son araştırma, bu gerçekliğe ışık tutan bir bakış sağladı:
- Şirketlerin saldırı yüzeylerinin boyutu her ay %9 dalgalanıyor ve bu da güvenlik açıklarının tespit edilmesini zorlaştırıyor.
- Kuruluşların ortalama olarak 104 yan kuruluşu vardır (yani, iş birimleri, markalar veya bağımsız şirketler olabilen bir ana şirketin sahip olduğu kuruluşlar) ve çekirdek güvenlik ekibi bunlardan 10 ila 31 tanesinden habersizdir.
- Görünmez veya tespit edilmesi zor yan kuruluşlar, müşteri varlıklarını etkileyen kritik ve yüksek öncelikli güvenlik açıklarının ortalama %56’sını içerir.
Kısacası, şirketlerin saldırı yüzeyleri hiç bu kadar büyük ve savunmasız olmamıştı. Ve güvenlik liderleri, sürekli olarak başka bir sorunun ortaya çıkmasından korkuyorlar. Log4j işlerini mahvedecek.
Ve sanki başa çıkacak yeterli güvenlik tehdidimiz yokmuş gibi, ChatGPT gibi büyük dil modelleri ana akıma girdi ve siber saldırılar için potansiyel bir silah olarak yapay zeka diline ışık tuttu. Endişelenmeli miyiz? Kısa cevap evet. Ama daha sonra ele alacağım parlak bir tarafı var.
Büyük Dil Modelleri Aleyhinize Kullanılabilir ve Kullanılacaktır
LLM’lerin kötü oyunculara ölçek, kapsam, erişim ve hız açısından büyük bir avantaj sağlayabileceği birkaç siber saldırı aşaması vardır. Burda biraz var:
- Otomatik keşif. Kuruluşunuzla ilişkili tüm varlıkları (cihazlar, dosyalar vb.) ve yan kuruluşları, markaları ve hizmetleri haritalandırın ve keşfedin. AWS dizinlerinde açığa çıkan kimlik bilgileri gibi hassas bilgileri bulun.
- Güvenlik açığı keşfi. Hedeflenen ağdaki zayıflıkları bulun.
- Sömürü. Başlamak için, ilk kullanım, bir ağa erişim elde etmek için kimlik avı gibi bir teknik kullanmakla ilgilidir. Ardından, hedeflenen istismar, ağ içindeki güvenlik açıklarını geliştirmek ve bunlardan yararlanmak için sulama deliği saldırılarını kullanabilir.
- Veri hırsızlığı. Hassas veya değerli verileri ağdan kopyalayın veya sızdırın.
Ayrıca, LLM’lere dayalı tüketici uygulamaları, özellikle de ChatGPT, çalışanlar tarafından hem kasıtlı hem de kasıtsız olarak, yalnızca ücretsiz genel sürümü kullanarak şirket IP’sini sızdırmak için kullanılabilir. JP Morgan gibi şirketler bunu erken fark etti ve ChatGPT’nin kurumsal kullanımını yasaklamakta gecikmediler.
Spear-phishing kampanyaları başka bir kullanım durumu sağlar. Yüksek kaliteli kimlik avı, hedefin derinlemesine anlaşılmasına dayanır; büyük hacimli verileri çok hızlı bir şekilde işledikleri ve mesajları etkili bir şekilde özelleştirdikleri için, büyük dil modellerinin oldukça iyi yapabildiği şey tam olarak budur. Büyük bir dil modeli tarafından oluşturulan e-postalar, artan hassasiyet ve inanılırlıkla bir patronun, iş arkadaşının, arkadaşın veya saygın bir kuruluşun kimliğine bürünebilir. O zamandan beri Veri ihlallerinin %82’si insan unsurunu içeriyorkimlik avı ve çalınan kimlik bilgilerinin kullanımı da dahil olmak üzere, bilgisayar korsanları bu tür saldırıları hızlandırmak için LLM’leri kullanırken bu, izlenmesi gereken bir alan olacaktır.
Güvenlik Ekipleri Saldırganların Durumunu Döndürebilir
İyi haberler var: Güvenlik ekipleri, kendi şirketlerinde keşif yapmak ve güvenlik açıklarını saldırganlar onlara ulaşmadan düzeltmek için makine öğrenimini ve LLM’leri de kullanabilir. Açıktaki hassas varlıkları, kişisel tanımlanabilir bilgileri (PII), dosyaları vb. bulmak için kendi saldırı yüzeylerini hızlı ve uygun maliyetli bir şekilde taramak ve haritalamak için kullanabilirler. Buna karşılık, aynı başarıyı manuel yöntemlerle gerçekleştirmek aylar alabilir ve/ veya yüz binlerce dolara mal olur.
Herhangi bir varlığın iş bağlamını bilmek, güvenlik ekiplerinin riski etkili bir şekilde önceliklendirebilmesinin tek yoludur ve makine öğrenimi yardımcı olabilir. Örneğin, makine öğrenimi, PII içeren bir veritabanını tanıyabilir ve gelir işlemlerinde rol oynayabilir.
Makine öğrenimi ayrıca bir ödeme mekanizması, kritik bir veritabanı ve rastgele bir cihaz arasında ayrım yaparak bir varlığın iş amacını belirleyebilir ve risk profilini sınıflandırabilir. Bu bağlam, katlanarak daha iyi risk önceliklendirmesi ve daha yüksek düzeyde tehdit istihbaratı sağlar. Doğru önceliklendirme yapılmadığında, güvenlik ekipleri, Acil ve Kritik gibi etiketlere sahip, aslında çoğu zaman doğru olmayan sayısız güvenlik açığı listesiyle karşı karşıya kalır.
Yeni Bir Saldırı Dönemine Hazırlanmak
Saldırganların, keşifleri otomatikleştirmek ve saldırı yüzeylerinizin haritasını çıkarmak için büyük dil modellerinden en iyi şekilde yararlanmasını beklemek için her türlü neden vardır. Güvenlik ekiplerinin başka bir öğrenme eğrisine başlama zamanı: Büyük dil modellerinin savunma amaçları için en iyi, en etkili kullanımlarını bulun. Şu anda, bir yerlerde birileri kuruluşunuzun güvenlik açıklarını arıyor ve bunları bulmak için bu yeni popüler araç türünü kullanmaları an meselesi.