AI. Yapay Zeka. Bir kısaltma, siber güvenliğin manzarasını yeniden şekillendirmiş gibi görünen iki kelime. 2024 RSA Konferansı’nda her yerdeydi: hemen hemen her standın vitrininde damgalanmış, yaklaşık 150 konuşmacı oturumunda dile getirilmiş ve C seviyesindeki yöneticilerle yaptığım birçok röportajda yankı bulmuştu. Microsoft Security’de Kurumsal Başkan Yardımcısı olan Vasu Jakkal’a göre, kuruluşların %93’ünün bir miktar AI kullanımına sahip olduğu tahmin ediliyor [1]2027 yılına kadar 407 milyar dolara ulaşması beklenen patlayan pazarı yansıtıyor [2]. Peki AI’yı gerçekten ne oluşturuyor ve halihazırda benimsenmiş makine öğrenimi teknolojisinden nasıl farklı? Şirketler iddia edildiği gibi AI’yı gerçekten kullanıyor mu? Ve eğer öyleyse, biz siber güvenlik uzmanları, bu kadar hızlı gelişen bir şeyi nasıl koruyor ve yönetiyoruz? Daha da endişe verici olanı, saldırganlar bizim düşündüğümüz gibi AI’yı kullanıyor mu? Hem sektör uzmanlarıyla yaptığım görüşmelerde hem de güvenlikteki mevcut eğilimleri vurgulayan temel oturumlara katıldığımda, AI’nın yaygın kullanımı ortasında mevcut siber güvenlik gerçeklerimize ışık tutan ilgi çekici bakış açıları ve gözlemler edindim.
Yapay zeka, bilgisayarların ve makinelerin insan zekasını taklit etmesine ve karmaşık sorunları etkili bir şekilde çözmesine olanak tanıyan ileri teknolojiyi temsil eder. Sensörler ve robotik gibi araçlarla sıklıkla bütünleştirilen bu yenilik, geleneksel olarak insan düşüncesini gerektiren görevlerin gerçekleştirilmesini sağlar. Dijital asistanların yaygın kullanımından GPS navigasyonunun hassasiyetine ve otonom araçların bağımsızlığına kadar, AI modern hayatımızın birçok alanında kendini göstermiştir. AI çeşitli sektörlere entegre olmaya devam ettikçe, etik AI ve sorumlu kullanım ve güvenliğin sağlanması etrafındaki konuşma giderek daha kritik hale geliyor. [3].
AI benimsemesinin yaygın iddialarına rağmen, birçok şirket gerçek yapay zekayı kullanmıyor olabilir, bunun yerine makine öğrenme tekniklerine güveniyor olabilir. Bu terimler sıklıkla birbirinin yerine kullanılsa da, gelişmiş teknoloji alanında farklı kapsamları ve yetenekleri temsil ederler. AI daha geniş bir yetenek kapsamını kapsadığından, makine öğrenimi AI içinde bir alt küme olarak çalışır ve makinelerin öğrenmesini ve deneyimden gelişmesini sağlayan otonom sürece odaklanır.
Açık ve sabit kodlu programlamaya güvenmek yerine, makine öğrenimi uzun veri kümelerini analiz etmek, içgörüler çıkarmak ve ardından bilinçli kararlar almak için algoritmaları kullanır. Makine öğrenimi modeli artan veri hacimleriyle eğitimden geçtikçe, karar almadaki yeterliliği ve etkinliği giderek artmaktadır. Birçok şirket süreçleri optimize etmek ve içgörüleri yönlendirmek için ML algoritmalarının gücünden yararlanırken, gerçek yapay zekanın kullanımı benimsenmede bir nebze sınırlıdır. Sonuç olarak, her biriyle ilişkili tehditler ve güvenlik açıkları önemli ölçüde farklılık göstermektedir; makine öğrenimi sistemleri genellikle veri zehirlenmesine ve model ters çevirme saldırılarına karşı hassastır, oysa AI sistemleri halüsinasyonlar ve düşmanca saldırılar gibi daha geniş sorunlarla karşı karşıyadır.
Örneğin, Cranium CEO’su Jonathan Dambrot, yapay zeka sistemlerinin nasıl “halüsinasyon görebileceğini”, yanlış çıktılar üretebileceğini veya istem tabanlı tehditlere kurban gidebileceğini tartışmıştır. AI’yı benimseme dürtüsünü, güvenlik etkilerine dair kapsamlı bir anlayışla dengelemenin önemini vurguluyor. Eskime korkusuyla kuruluşlar, bu riskleri tam olarak düşünmeden AI’yı uygulamaya koymak için acele ediyor ve böylece kendilerini potansiyel tehditlere maruz bırakıyorlar.
Yapay Zeka uzmanı ve Synack’te Kıdemli Ürün Yöneticisi olan Brandon Torio, günümüzde yapay zekaya yönelik en acil tehditin hızlı enjeksiyon olduğunu belirtiyor. Güvenlik içerik yönetimi ile geleneksel siber güvenlik arasında ayrım yaparak, bu riskleri azaltmak için kuruluşların proaktif bir yaklaşım benimsemesi gerektiğini vurguluyor. Torio, geliştirme sürecinde “sola kaymayı” savunuyor, yani güvenlik açıklarını erken yakalamak için kapsamlı dağıtım öncesi testler yapılması anlamına geliyor. AI’nın, verileri daha sindirilebilir hale getirme ve basit komut dosyası yazımı gibi sıradan görevleri kolaylaştırma gibi faydalarını kabul ediyor. Ancak, AI tarafından oluşturulan sonuçları bağlamlaştırma ve yorumlamada insan denetiminin yeri doldurulamaz rolünü öne sürüyor.
Trellix’te Tehdit İstihbaratı Başkanı John Fokker ile yaptığı bir başka sohbette, saldırganların yapay zekayı sıklıkla tasvir edildiği veya inanıldığı kadar kapsamlı bir şekilde kullanmadıklarını belirtti. Yapay zekanın saldırganlara istismar geliştirme veya deepfake oluşturma gibi sıkıcı görevlerde yardımcı olabildiğini, ancak çoğu siber suç faaliyeti için gerekli olmadığını savunuyor. Fokker, “İnsan bir makineden daha yaratıcıdır,” diyerek, karmaşık saldırılar tasarlamada insan yaratıcılığının yapay zekaya karşı devam eden üstünlüğünün altını çiziyor.
RSA 2024’e katılıp deneyimledikten ve sektör uzmanlarıyla röportaj yapma fırsatı bulduktan sonra, son düşüncelerim şunlar oldu: AI’nın potansiyelini etkili bir şekilde kullanmak için, proaktif güvenlik önlemleri ve insan denetimi içeren dengeli bir yaklaşım hayati önem taşıyor. AI, benzeri görülmemiş yetenekler sunabilir ve sunarken, aynı zamanda dikkatli bir dikkat gerektiren yeni güvenlik açıkları da ortaya çıkarır. Sektörün liderleri, AI’nın sınırlamalarının kapsamlı bir şekilde anlaşılmasının, kapsamlı testler ve etik hususlarla birleştirilmesinin, dijital manzaramızı ve gelecekteki dijital çabalarımızı korumak için elzem olduğu konusunda hemfikir. AI’yı siber güvenlik çerçevelerimize entegre etmeye devam ederken, teknolojik ilerlemenin onu güvence altına alma yeteneğimizi geride bırakmamasını sağlayarak uyanık ve uyumlu kalmak zorunludur.
yazar hakkında
Kylie Amison, Siber Güvenlik Mühendisliği alanında lisans derecesini ve istihbarat analizi alanında yan dal derecesini aldığı George Mason Üniversitesi’nin gururlu bir mezunudur.
Mobil güvenlik sektöründe lider bir şirkette Uygulama Güvenlik Analisti olarak tam zamanlı çalışmaktadır. Başlıca görevleri arasında mobil uygulamaların kalem testlerini yapmak, güvenli mobil uygulama geliştirmek ve güvenlik sektöründe sürekli olarak öne çıkan heyecan verici projelere ve önemli girişimlere katkıda bulunmak yer almaktadır.
Ayrıca Kylie, şirketin ürünlerinden biri olan jeopolitik tehdit istihbarat motoru olan ve çok çeşitli ölçümleri ve NLP duygu analizini bir araya getirerek ulus devlet başına nüanslı ve gerçek zamanlı tehdit puanları hesaplayan bir jeopolitik tehdit istihbarat motoru üzerinde baş geliştirici olarak bir siber güvenlik yazılım geliştiricisi olarak bir başlangıç şirketine katkıda bulundu. Bu girişime katkıda bulunmak, güvenli yazılım oluşturma konusundaki bilgisinde önemli bir rol oynadı ve ona yalnızca ilk ürününü geliştirme fırsatı vermekle kalmadı, aynı zamanda tehdit istihbarat motorunda oluşturulan yazılımı ve yetenekleri ürünleştirerek kendi başlangıç şirketini kurma fırsatı da verdi. Şu anda Xenophon Analytics’in kurucu ortağı ve CTO’sudur.
Tüm deneyimleri ve dersleri boyunca, güvenli yazılım geliştirme, penetrasyon testi, mobil güvenlik ve çok sayıda kodlama dili konusunda temel beceriler kazandı. Dijital adli bilimler ve siber güvenlik alanında lisansüstü derece almak için okula geri dönme konusunda daha fazla arzusu var.
Akademik ve profesyonel yaşamın ötesinde Kylie, anime izlemekten, okumaktan ve doğayla ilgili her şeyi yapmaktan hoşlanıyor. Hayatındaki nihai hedefi sorulduğunda, “Hayattaki hedefim her gün öğrenmek ve bunu yapmaktan gurur duyuyorum.” şeklinde yanıtladı.
Referanslar:
[1] RSAC 2024 ana konuşmacı oturumu “Yapay Zekayı Güvence Altına Alma: Öğrendiklerimiz ve Sırada Ne Var”
[2] https://www.forbes.com/advisor/business/ai-statistics/
[3] https://www.ibm.com/topics/yapay-zeka