Temmuz 2025’te Ukrayna’nın CERT-UA’sı yeni bir siber tehdit biçimini açıkladı: talimat beklemeyen kötü amaçlı yazılım. Bunun yerine özerk hareket eder. Olay, yapay zeka destekli bir ajanın karıştığı olay. LameNetharici bir sunucu veya insan operatör olmadan, hedef ortamda bağımsız komut yürütmeyi yönlendirmek için kullanılan yapay zekanın kamuya açık olarak belgelenen ilk vakaları arasındadır.
Yapay zeka ajanlarının kullanımı hemen hemen her sektörde hızla artıyor. Operasyonel Teknoloji veya OT siber güvenliği söz konusu olduğunda, endüstriyel operatörler için siber riskte derin bir artışı temsil ediyor. Programlanabilir kötü amaçlı yazılımların aksine, AI Aracıları şunları yapabilir: akıl yürütün, uyum sağlayın ve harekete geçin OT ağları ve Endüstriyel Kontrol Sistemleri (ICS) dahilinde. Yalnızca verileri çalmazlar veya dosyaları şifrelemezler; süreci gözlemleyebilirler davranışsistem normlarını öğrenin ve tetikleyen komutları enjekte edin gerçek dünyadaki fiziksel sonuçlar. Bu potansiyel olarak bugüne kadarki en önemli OT siber tehdididir.
Bunun sonuçları açıktır:
- Bu tehditler daha hızlı, daha gizli olacak ve geleneksel araçlar kullanılarak tespit edilmesi daha zor olacaktır.
- Ve giderek daha fazla olacaklar Süreç Katmanını (gerçek endüstriyel makineler) hedefleyin ve sadece ağ değil.
Fidye yazılımının on yıl önce BT güvenlik önceliklerini değiştirmesi gibi, otonom yapay zeka ajanları da artık OT savunucularını tüm yaklaşımlarını yeniden düşünmeye zorluyor. Ağ trafiğine odaklanan geleneksel tespit yöntemleri artık yeterli değil. Savunmacılar ayrıca, en ciddi sonuçların çok geç olana kadar fark edilmeyebileceği fiziksel sürecin kendisine ilişkin görünürlük sağlamalıdır.
Siber profesyoneller yapay zeka ajan tsunamisine hazırlanırken, araç setlerine benzer özerklik ve hassasiyetle çalışabilen savunma amaçlı yapay zeka ajanlarını da eklemeleri gerekecek. Bu makale, bu yeni gerçekliğe nasıl uyum sağlanacağını ve büyüyen rolü araştırıyor. Endüstriyel operasyonlardaki fiziksel kesintilerin tespit edilmesi ve önlenmesinde süreç düzeyinde OT siber güvenliğinin önemi.
Çoğu OT siber güvenlik programı, güvenlik duvarları, IDS/IPS sistemleri, erişim kontrolleri, bölümlere ayrılmış mimariler ve PLC veya SCADA seviyesinde kontrol mantığı doğrulaması gibi araçların bir kombinasyonuna dayanır. Bu araçlar, insan kaynaklı tehditleri tespit etmek için tasarlanmıştır: kötü amaçlı yazılım imzaları, yetkisiz erişim veya olağandışı trafik modelleri.
Ancak yapay zeka ajanları geleneksel saldırganlar gibi davranmıyor.
Harici komuta ve kontrol altyapısına güvenmezler veya bilinen imzaları tetikleyen sabit sıraları takip etmezler. Bir OT ortamına yerleştirildikten sonra otonom olarak çalışabilir, sistemin nasıl davrandığını yavaş yavaş öğrenip normal operasyonlara uyum sağlayabilirler. Protokol ve erişim açısından tamamen geçerli olan, yerleşik kontrol mantığıyla uyumlu ve hiçbir uyarıyı tetiklemeyen komutlar verebilirler.
Gelenekselin sınırlamalarının olduğu yer burasıdır. savunmalar belirgin hale gelmek. Ağ akışlarının izlenmesi, mantığın doğrulanması veya segmentasyon politikalarının uygulanması olsun, bu araçların tümü ICS’nin üst seviyelerinde (1-3) çalışır. Neyin emredildiğini takip edebilirler ancak fiziksel olarak ne olduğunu takip edemezler.
Örneğin, bir kontrol sistemi, bir motora kapanma talimatı verildiğini kaydedebilir ve bu komutun aktüatörden alındığını doğrulayabilir. Ancak aşağı yöndeki sensör hala basınç veya akış gösteriyorsa ve bu veriler bağımsız olarak izlenmiyorsa sistemin, prosesin tehlikeye atıldığını tespit etmesinin hiçbir yolu yoktur.
Süreç seviyesindeki bu doğrudan doğrulama eksikliği, yaygın bir kör noktadır ve yapay zeka aracılarının yararlanmak üzere tasarlandığı bir güvenlik açığıdır.
Endüstriyel sistemlere yönelik koordineli Yapay Zeka Aracısı destekli saldırı, süreç katmanında başlamaz.
Güvenliği ihlal edilmiş kimlik bilgileri, kimlik avı e-postaları veya virüslü uç noktalarla yığının daha üst kısımlarında başlar. Ancak AI ajanlarını diğerlerinden ayıran şey, sürekli insan yönlendirmesine ihtiyaç duymadan OT ortamında hızlı ve sessizce hareket ederek saldırının her aşamasını otomatikleştirme ve uyarlama yetenekleridir (bkz. Ek 1).
Sergi 1
İlk adım, derin sahte e-postalar veya sentetik sesli aramalar yoluyla VPN belirteçlerini veya MFA kodlarını toplayan bir kimlik bilgisi hırsızı aracıyı içerebilir. AI ajanı içeriye girdikten sonra Shodan ve Nmap API’leri gibi keşif araçlarını kullanabilir. katalog Erişilebilen her PLC, HMI ve mühendislik istasyonuna dakikalar içinde erişebilirsiniz.
Ortamın net bir haritasıyla, bir istismar oluşturma aracısı görevi devralır. Büyük bir dil modeli (LLM) kullanarak, merdiven mantığı yüklerini dinamik olarak tasarlayabilir veya uyarlayabilir ve bilinen güvenlik açıklarını belirli cihazlara karşı silah haline getirebilir. Aracı, önceden oluşturulmuş güvenlik açıklarına güvenmek yerine, gözlemlediği ortama bağlı olarak yaklaşımını gerçek zamanlı olarak özelleştirebilir.
Yapay zeka kontrol sistemlerine erişim kazandıkça, bir gizlilik ve kalıcılık aracısı izinsiz girişin izlerini gizler. Komut kanallarını döndürür, trafik modellerindeki etkinliği gizler ve operatörleri yanıltmak ve tespitten kaçınmak için HMI veya geçmiş verilerini taklit edebilir.
Son olarak saldırı, güvenliği ihlal edilmiş kontrol sistemi bileşenleri aracılığıyla komutlar vererek süreç katmanını (gerçek endüstriyel makineyi) hedef alır. Bir proses manipülasyon aracısı, klor dozajı, basınç seviyeleri veya pompa hızları gibi fiziksel ayar noktalarını daha yüksek seviyeli bir arayüzden hassas bir şekilde ayarlayabilir. Akış hızları, sıcaklıklar veya basınç değerleri gibi gerçek zamanlı sensör verilerini izler ve belirli, genellikle zararlı bir sonuca ulaşmak için bu talimatlara ince ayar yapar. Bu değişiklikler önceden tanımlanmış operasyonel eşikler dahilinde kaldığı için, kademeli veya kümülatif zarara yol açma niyetinde olsa bile alarmları tetiklemeyebilir veya operatörün dikkatini çekmeyebilir.
AI Aracıları, kontrol mantığını yönetebilir ve ağ günlükleri ve sistem arayüzleri genelinde geçerli görünen komutlar verebilir. Ancak fiziksel düzeyde iz bırakmaktan kaçınamazlar. Bir vana beklendiği gibi yanıt vermediğinde, bir pompa ‘dur’ sinyaline rağmen kuru çalıştığında veya herhangi bir dijital anormallik olmadan basınç eğilimleri saptığında, bir saldırının işaretleri veri paketlerinde değil, gerçek dünyadaki proses sinyallerinde görünür hale gelir.
Süreç odaklı siber güvenlik, yakalamaya ve analiz etmek bu sinyaller ICS’nin kontrolü dışında doğrudan sahadan gelir. Ham elektriği gözlemleyerek veya analog Sensörlerden ve aktüatörlerden gelen girdiler sayesinde savunmacılar, sistem içinde gerçekte neler olduğuna dair filtrelenmemiş, kurcalamaya karşı dayanıklı bir görünüm kazanır.
Bu izleme biçimi bant dışıdır, yani hedeflenen aynı dijital altyapıya dayanmaz. Güvenliği ihlal edilebilecek veya aldatılabilecek HMI’lardan, SCADA’lardan veya PLC’lerden bağımsız olarak çalışır. Ne emredildiğini sormaz; ne olduğunu sorar. Ve bu fark, diğer tüm katmanları atlayan saldırıları tespit etmesini sağlayan şeydir.
Süreç katmanı siber güvenliği, komutun amacı ile fiziksel sonuç arasındaki tutarsızlıkları tespit ederek, yürütme anında, yani en önemli anda, kötü niyetli müdahaleleri açığa çıkarır. Operatörlere ve savunuculara, yapay zeka ajanlarının manipüle edemeyeceği, kökleri fiziğe dayanan son bir hakikat çizgisi verir.
Yapay zeka ajanlarının vahşi yaşamdaki etkisini henüz yeni görmeye başlıyoruz ve şimdiden OT siber güvenliği açısından etkileri oldukça derin. Bu sistemler yalnızca saldırıları ölçeklendirmez; geleneksel tespit ve müdahaleyi zayıflatacak şekillerde uyum sağlıyorlar.
Savunmacıların bu hıza ayak uydurmak için kendilerine karşı kullanılan teknolojileri entegre etmesi ve akıllı otomasyonu süreç farkındalığına sahip görünürlükle birleştirmesi gerekiyor. En önemlisi, saldırının hedefi olan fiziksel katmanın artık kör nokta olmamasını sağlamalıdırlar. Çünkü son satırı savunma OT güvenliği dijital değildir. Bu fiziksel. Ve bu gerçek zamanlı olarak gerçekleşiyor.
Geleceğe baktığımızda, yapay zeka ajanları yalnızca saldırı yeteneği olmayacak, aynı zamanda savunma gereksinimi haline gelecekler. Olay Müdahalesi durumunda, sensörler, sistemler ve operasyonel roller arasında hızlı koordinasyona olanak sağlamak için yapay zeka desteğine ihtiyaç duyulacaktır. Statik oyun kitaplarının, hız ve bağlamla yanıt verebilen otonom mantıkla kodlanması gerekecektir.
Henüz ilk günlerdeyiz. Ancak özerk bir yapı oluşturmak savunma aracılar artık OT siber hazırlığı için temel bir gerekliliktir.
