Deepfake’ler ve diğerleri üretken yapay zeka (GenAI) saldırıları giderek azalıyorve işaretler bu tür saldırıların yaklaşmakta olduğuna işaret ediyor: Zaten yapay zeka tarafından oluşturulan metinler e-postalarda daha yaygın hale geliyor ve güvenlik firmaları da bu tür saldırıların yaklaştığını gösteriyor. e-postaları tespit etmenin yolları muhtemelen insanlar tarafından yaratılmadı. İnsanlar tarafından yazılan e-postalar tüm e-postaların yaklaşık %88’ine düşerken, büyük dil modellerine (LLM’ler) atfedilen metinler artık tüm e-postaların yaklaşık %12’sini oluşturuyor. Bu oran 2022’nin sonlarında yaklaşık %7’ydi. bir analize göre.
Kuruluşların yapay zeka tabanlı saldırılara karşı daha güçlü savunma geliştirmelerine yardımcı olmak amacıyla, Dünya Çapında Açık Uygulama Güvenliği Projesi (OWASP) kapsamında LLM Uygulamaları ve Üretken Yapay Zeka için İlk 10 grubu açıklandı üçlü rehber belge 31 Ekim’de güvenlik kuruluşları için. Daha önce yayınlananlara Yapay zeka siber güvenliği ve yönetişim kontrol listesiile grup, deepfake etkinliklerine hazırlanmak için bir kılavuz, yapay zeka güvenlik mükemmellik merkezleri oluşturmaya yönelik bir çerçeve ve yapay zeka güvenlik çözümlerine ilişkin seçilmiş bir veritabanı ekledi.
OWASP’ın ortak proje lideri Scott Clinton, önceki Top 10 kılavuzunun modeller geliştiren ve kendi yapay zeka hizmetlerini ve ürünlerini yaratan şirketler için yararlı olmasına rağmen, yeni kılavuzun yapay zeka teknolojisi kullanıcılarını hedeflediğini söylüyor.
Bu şirketler “Yapay zekayı mümkün olduğunca fazla rehberlikle güvenli bir şekilde yapabilmek istiyor; bunu yine de yapacaklar çünkü bu, iş için rekabet açısından farklılaştırıcı bir faktör” diyor. “Eğer rakipleri bunu yapıyorsa, [then] Bunu yapmanın, daha iyi yapmanın bir yolunu bulmaları gerekiyor… böylece güvenlik engelleyici olamaz, buna engel olamaz.”
Bir Güvenlik Satıcısının İş Adayı Deepfake Saldırısı
Şu anda gerçekleşmekte olan gerçek dünya saldırı türlerine bir örnek olarak, güvenlik tedarikçisi Exabeam’deki bir iş adayı tüm ilk incelemeyi geçmiş ve son görüşme turuna geçmiştir. İşte o zaman şirketin GRC ekibi lideri Jodi Maas bir şeylerin ters gittiğini fark etti.
İnsan kaynakları grubu, yeni bir kıdemli güvenlik analisti için yapılan ilk görüşmeyi “bir şekilde senaryoya dayalı” olarak işaretlese de, asıl görüşme normal selamlamalarla başladı. Ancak bir tür dijital hilenin kullanımda olduğu kısa sürede anlaşıldı. Exabeam’in güvenlik operasyonları merkezinde (SOC) uygulama güvenliği ve yönetimi, risk ve uyumluluktan sorumlu olan Maas, arka plandaki yapaylıkların ortaya çıktığını, görüşülen kadının ağzının sesle eşleşmediğini ve neredeyse hiç hareket etmediğini veya duygularını ifade etmediğini söylüyor.
“Çok tuhaftı; sadece gülümseme yoktu, kişilik yoktu ve bunun uygun olmadığını hemen anladık ama görüşmeye devam ettik çünkü [the experience] çok ilginçti” diyor.
Röportajın ardından Maas, Exabeam’in bilgi güvenliği sorumlusu (CISO) Kevin Kirkwood’a başvurdu ve benzer video örneklerine dayanarak bunun bir deepfake olduğu sonucuna vardılar. Bu deneyim onları yeterince sarstı ve şirketin GenAI tabanlı saldırıları yakalamak için daha iyi prosedürlere ihtiyaç duyduğuna karar verdiler, güvenlik personeliyle toplantılar başlattılar ve çalışanlara şirket içi bir sunum yaptılar.
“Gerçek şu ki İK grubumuzu geçtik ilginçti. … Tüm sorulara doğru cevap verdikleri için onları geçtiler” diyor Kirkwood.
Deepfake röportajının ardından Exabeam’den Kirkwood ve Maas, İK gruplarını takip ederek, örneğin gelecekte bu tür saldırıların daha fazla bekleneceğini bildirmek için süreçlerini yenilemeye başladı. Şirket şimdilik çalışanlarına görüntülü görüşmelere şüpheyle yaklaşmalarını tavsiye ediyor. (Yarı şaka yollu bir şekilde, Kirkwood bu muhabirden, insanlığın kanıtı olarak röportajın ortasında videomu açmasını istedi. Açtım.)
Kirkwood, “Artık bunu daha sık göreceksiniz ve bunların kontrol edebileceğiniz şeyler olduğunu ve bunların deepfake’te göreceğiniz şeyler olduğunu biliyorsunuz” diyor.
Deepfake Karşıtı Teknik Çözümlere İhtiyaç Var
Deepfake olayları, BT profesyonellerinin hayal gücünü ve korkusunu etkiliyor; yaklaşık yarısı (%48) şu anda deepfake konusunda oldukça endişeli ve %74’ü deepfake’lerin gelecekte önemli bir tehdit oluşturacağına inanıyor. E-posta güvenlik firması Ironscales tarafından yürütülen bir anket.
Ironscales’in kurucusu ve CEO’su Eyal Benishti, deepfake’lerin gidişatını tahmin etmek oldukça kolay; bugün çoğu insanı kandıracak kadar iyi olmasalar bile gelecekte öyle olacaklarını söylüyor. Bu, insan eğitiminin muhtemelen ancak bu kadar ileri gidebileceği anlamına gelir. AI videoları ürkütücü derecede gerçekçi hale geliyor ve bir saldırgan tarafından gerçek zamanlı olarak kontrol edilen başka bir kişinin tamamen dijital ikizi (gerçek bir “çorap kuklası”) muhtemelen çok da geride değil.
“Şirketler deepfake’lere nasıl hazırlandıklarını denemek istiyor” diyor. “İlerleyen süreçte bu tür bir iletişime tamamen güvenilemeyeceğinin farkına varıyorlar, bu da… insanların farkına varması ve alışması biraz zaman alacak.”
Exabeam’den Kirkwood, gelecekte, yanıltıcı eserler ortadan kalkacağı için daha iyi savunmaların gerekli olduğunu söylüyor.
“En kötü senaryo: Teknoloji o kadar iyi hale geliyor ki tenis maçı oynuyorsunuz; bilirsiniz, tespit daha iyi hale geliyor, deepfake daha iyi, tespit daha iyi oluyor, vb.” diyor. “Teknoloji parçalarının yetişmesini bekliyorum, böylece onu gerçekten SIEM’ime bağlayabilir ve deepfake ile ilişkili unsurları işaretleyebilirim.”
OWASP’tan Clinton da aynı fikirde. Şirketlerin şüpheli görüntülü sohbetleri tespit etmek için insanları eğitmeye odaklanmak yerine, sohbetin aynı zamanda bir çalışan olan bir insanla yapıldığını doğrulamak, finansal işlemler etrafında süreçler oluşturmak ve bir olay-müdahale planı oluşturmak için altyapı oluşturması gerektiğini söylüyor.
Clinton, “İnsanları deepfake’leri nasıl tanımlayacakları konusunda eğitmek pek pratik değil çünkü tamamen öznel” diyor. “Daha öznel olmayan yaklaşımların olması gerektiğini düşünüyorum ve bu nedenle, gerçekten birkaç alana odaklanmak için teknoloji ve süreç kombinasyonlarından oluşan, kullanabileceğiniz bazı somut adımlar attık.”
Son gelişmeleri kaçırmayın Dark Reading Gizli podcast’i, NIST’in kuantum sonrası kriptografi standartları ve siber güvenlik uygulayıcıları için sırada ne olacağı hakkında konuştuğumuz yer. General Dynamics Bilgi Teknolojisi (GDIT) ve Carnegie Mellon Üniversitesi’nden konuklar her şeyi ayrıntılı olarak anlatıyor. Şimdi dinle!