Karlsruhe Teknoloji Enstitüsü’nden yeni bir çalışma, jeopolitik gerilimlerin güç ızgaraları, yakıt sistemleri ve diğer kritik altyapı üzerindeki siber saldırıları nasıl şekillendirdiğini gösteriyor.
Araştırma nasıl yapıldı
Araştırmacılar, MITER ATT & CK Grupları, CSIS, Thaicert, Malpedia, Eurepoc ve AI olay veritabanı dahil olmak üzere büyük siber tehdit veritabanlarını incelediler. Her kaynak bilgiyi farklı rapor eder. Bazıları, analiz edilmesi kolay olan JSON veya tablolar gibi yapılandırılmış formatları kullanır. Diğerleri işlenmesi daha zor olan uzun tanımlayıcı metne güvenir. Bazı durumlarda, coğrafya tamamen eksik.
Bunu ele almak için yazarlar Gemini 1.5-Flash-Latest Modelini kullanarak bir boru hattı inşa ettiler. Yapay zeka, serbest metni menşe ülkeyi, hedef ülkeyi ve olayın enerji ile ilgili olup olmadığını tanımlayan yapılandırılmış alanlara dönüştürmekle görevlendirildi.
Ham açıklamadan yapılandırılmış JSON’a kadar üretken-ai ayrıştırma boru hattının akışı
Boru hattını temel kural tabanlı bir sisteme karşı test ettiler. AI ayrıştırıcısı, kural tabanlı versiyon için yüzde 81 ile karşılaştırıldığında yüzde 84 doğruluğa ulaştı. Daha da önemlisi, hassasiyeti yüksek tutarken, enerji ile ilgili vakaları yüzde 66’dan 77’ye çıkardı.
Tehdit faaliyetindeki kalıplar
Çalışma, jeopolitiğin hedefleri, güdüleri ve saldırı modellerini şekillendirdiğini doğrulamaktadır. Tehdit oyuncusu kökenleri ve hedeflerinin karşılaştırılması, genel siber faaliyet ile enerjiye özgü kampanyalar arasındaki farklılıkları ortaya çıkardı.
Özel hedefleme: Genel tehditler yaygın olarak ortaya çıkıyor ve birçok sektöre çarpıyor. Enerji olayları daha sıkı kümelenerek, bazı aktörlerin enerji altyapısına özgü beceriler ve erişim geliştirmesini önermektedir.
Bölgesel konsantrasyon: Rusya ve Çin, veri kümelerinde kökenlere hakim olurken, ABD sık bir genel hedeftir. Enerji olayları için Malpedia verileri Orta Doğu’yu en iyi hedef olarak vurgular.
Çatışma korelasyonu: Çatışma saldırı sivri uçlarıyla uyumludur. Rusya.Kraine zaman çizelgesi 2022’den sonra hızlanıyor. Çin-Tayvan daha istikrarlı, uzun vadeli aktivite gösteriyor.
İttifak kümeleme: Kökenler ittifaklar tarafından gruplandığında, enerji olmayan tehditler genellikle BRICS üyeleriyle bağlantılıdır. Enerji olayları, veri kümesine bağlı olarak NATO üyelerine veya hem NATO hem de BRICS dışındaki ülkelere bağlı daha yüksek hisse senetleri göstermektedir.
Algılama verileri hangi gösterir
Çalışma ayrıca, farklı güvenlik araçlarının enerjiyle ilgili kötü amaçlı yazılımlara bağlı uzlaşma göstergelerini ne kadar iyi algıladığını da inceledi. Numune Malpedia’dan geldi ve Virustotal yoluyla test edildi.
Sonuçlar bir boşluk gösteriyor. Statik makine öğrenme motorları kötü amaçlı göstergelerin yaklaşık yüzde 47’sini tespit etti. Geleneksel veya hibrit antivirüs motorları daha iyi performans gösterdi ve tespit oranları yüzde 88’e yakın.
ML sistemleri ilerlerken, kötü amaçlı yazılım endüstriyel ve enerji ortamları için hazırlandığında geleneksel yaklaşımlar hala bir avantaj sağlar. Ayarlama ve telemetrinin kalitesi önemli bir rol oynar.
Saldırganlar AI’yi nasıl kullanır?
Saldırganlar üretken yapay zekayı deniyorlar ve birkaç grup bu araçları zaten iş akışlarına entegre etti.
- Çin merkezli olduğundan şüphelenilen Sweetspecter, keşif, güvenlik açığı araştırması ve senaryo için AI hizmetleri kullanıyor.
- İran ile bağlantılı olduğundan şüphelenilen Cyberav3Ngers, programlanabilir mantık kontrolörlerini incelemek için GPT modelleri kullanıyor ve enerjiye bağlı olanlar da dahil olmak üzere endüstriyel kontrol sistemlerine karşı yıkıcı operasyonlar yürüttü.
- İran ile bağlantılı olan Storm-0817, kötü amaçlı yazılım hata ayıklama, kod yardımı ve keşif desteği için AI kullanıyor.
Bu vakalara rağmen, enerji sektörüne yapay zeka ile ilgili saldırıların açık raporlanması kamu veritabanlarında sınırlı olmaya devam etmektedir. Bu, düşük kullanım yerine yetersiz raporlamayı yansıtabilir.
Veritabanı boşlukları hala analizi sınırlandırıyor
Çalışma ile vurgulanan tutarlı zorluklardan biri, tehdit veritabanları arasındaki tutarsızlıktır. Bazı kaynaklar oldukça yapılandırılmıştır ve otomasyona izin verir. Diğerleri tanımlayıcıdır ve manuel ayrıştırma veya AI desteği gerektirir. Bazıları, AI olay veritabanı gibi, genellikle coğrafi kökenleri ve hedefleri tamamen atlar.
Bu standardizasyon eksikliği, verileri kaynaklar arasında karşılaştırmayı veya kapsamlı bir jeopolitik resim oluşturmayı zorlaştırır. Yazarlar, yapılandırılmış raporlamanın norm haline gelmesi gerektiğini savunuyorlar, çünkü daha tutarlı analiz ve databaz karşılaştırmaları sağlıyor.