Son birkaç yıldır ıssız bir adada veya bir mağarada yaşamıyorsanız, yapay zekanın (AI) dönüştürücü gücü hakkında kesinlikle duydunuz ve okudunuz. Eğitimden eğlence ve pazarlamaya, tıbbi araştırmaya (ve aradaki her şeye), AI’nın muazzam miktarda veri işleme, kalıpları öğrenme ve karmaşık ve külfetli görevleri otomatikleştirme yeteneği, sadece şirketlerin işlerini nasıl yürüttüğünü değil, aynı zamanda insanların işlerini nasıl yürüttüğünü kökten değiştiriyor.
Siber güvenlik alanındaki bizler için AI-özellikle büyük dil modelleri (LLM’ler) ve LLM ile çalışan AI ajanları-çalışma şeklimizi devrim yaratmayı vaat ediyor. Belki de hiçbir yerde, güvenlik uygulayıcılarının kendilerini sistem güvenlik açıklarını belirlemek ve vektörlere saldırı vektörlerine proaktif olarak ele alabilmeleri ve şirketlerinin riskini azaltabilmeleri için kötü niyetli tehdit aktörleri ayakkabılarına koydukları saldırgan güvenlik alanından daha derin etkiler değildir.
Şirketlerin güvenlik açığı değerlendirmesi, kalem testi ve kırmızı ekip de dahil olmak üzere saldırgan güvenlik için alabileceği birçok yaklaşım var. Ancak bu yaklaşımların kanıtlandığı kadar etkili, giderek daha karmaşık bir manzarada çekiş kaybediyorlar. Hedeflerinin sistemlerine sızmak için daha sofistike teknikler kullanan kötü adamlar değil, aynı zamanda bir dizi yeni teknoloji (aralarında blockchain ve IoT) ve büyüyen bir uzak işgücü sayesinde çevreyi tanımlamak ve savunmak zorlaşıyor.
Dahası, güvenlik açığı değerlendirmesi veya kalem testi olsun, saldırgan güvenliğe her yaklaşım, belirli alanlarda benzersiz bir beceri seti ve uzmanlık gerektirir – bir IoT cihazının test edilmesi arasında önemli bir fark vardır – sadece yetenekli güvenlik uzmanlarının yaygın eksikliği tarafından daha da kötüleşen bir engel. Bugünün saldırgan güvenlik uygulayıcılarının karşılaştığı engellerin listesi, kurtarmaya gümüş süren yalnız Ranger gibi uzun olsa da, yardım AI şeklinde ufukta.
7/24 işgücü
AI odaklı araçların güvenlik cephesinde sayısız kullanım vardır. Örneğin, sofistike siber saldırıları taklit edebilir ve kötü amaçlı aktörler tarafından sömürülmeden çok önce sistemlerden yazılıma kadar her şeydeki güvenlik açıklarını tespit edebilirler, bu da güvenlik ekiplerinin çabalarını daha verimli ve daha geniş bir saldırı senaryolarına ayırmasına izin verir. Ek olarak, aynı anda birden fazla aracı ve hatta birden çok sistemde eşzamanlı olarak test edebilirler. Ayrıca yeni güvenlik açıklarına dinamik olarak yanıt verebilir, çeşitli istismarları ve etkilerini test ederken uyum sağlayabilir ve performanslarını sürekli olarak geliştirebilirler. (Güvenlik kontrollerini ve duruş yönetimini ölçeklendirirken özellikle yararlı olan otomatik düzeltme yeteneğidir.)
Belki de AI’nın güvenliğe en büyük katkılarından biri, zaten aşırı yüklenmiş güvenlik ekipleri üzerindeki baskıyı hafifletmektir. AI’nın insan meslektaşları, AI’nın ortaklıkları bulmak için büyük miktarda veriyi analiz edip birleştirebilme hızına gelince rekabet edemez. İnsanlardan farklı olarak, AI odaklı güvenlik araçları günün her saatinde çalışabilir, sistemleri izleyebilir ve sorunlarla karşılaştıklarında eylem kursları önerebilir. Bu araçlar daha önce birden fazla vardiyada çalışan birkaç kişiyi gerektiren rolleri doldurmakla kalmaz, aynı zamanda yapay zeka odaklı araçlar, gelecekteki güvenlik profesyonellerinin kariyerlerini hızlı bir şekilde takip etmek için kullanılabilir, çünkü genç rollerdekilerin kalıpları daha hızlı ve işlerin nasıl daha hızlı çalıştığını görmelerine yardımcı olur.
Geleceğe ve ötesine
AI zaten saldırgan güvenlik alanında büyüklüğünü kanıtlıyor ve sadece başlıyoruz. Örneğin, AI’nın zaman alıcı görevleri ele alma konusundaki verimliliği nedeniyle, güvenlik test cihazları bunun yerine işlerinin daha stratejik ve yaratıcı yönlerine odaklanmakta ücretsizdir.
Artan otomasyon ayrıca daha kısa geri bildirim döngülerine yol açacaktır, yani bu faaliyetler bugün olduğundan daha önceki aşamalarda bile Devsecops sürecine eklenebilir. Bu vardiya-sol aynı zamanda, bir kuruluşun genel güvenlik duruşunu iyileştirerek, sonuna takılmak yerine yazılım geliştirme yaşam döngüsünün başında güvenlik hususlarının pişirileceği anlamına gelir.
Bireysel görevlerin ötesinde, yapay zeka kullanımı da bir dereceye kadar saldırgan güvenlik alanını demokratikleştirmiştir. Hazır kullanılabilirliği, sadece fayda sağlayabilecek büyük bütçeleri olan şirketler olmadığı anlamına gelir. Bugün, Openai’nin GPT-4O’su gibi araçlar sayesinde daha küçük şirketler bile güvenlik testinden yararlanabilir.
Ne yazık ki, güvenlik testçilerinin yapay zekadan yararlanması gibi, tehdit aktörleri de. Güvenlik uygulayıcılarının yeni beceriler geliştirmeleri ve rakiplerinin bir adım önünde kalacaklarsa tekniklerini ve araçlarını geliştirmeleri gerekecektir.
Gümüş mermi değil
Etkileyici fayda listesine rağmen, AI güdümlü araçlar sorunları olmadan değildir. Ve Lone Ranger, Vahşi Batı’yı kanun kaçaklarından koruma arayışında bir tehdit ve testler ile karşı karşıya kaldı, güvenlik uygulayıcıları gümüş bir mermi olmaktan çok uzak buluyorlar, AI kendi sorunları ile geliyor.
Yeni başlayanlar için, AI’nın özellikle saldırgan güvenlikte kullanılması, bir kişinin yakalayabileceği daha yüksek bir yanlış pozitif veya kaçırılan güvenlik açıklarına katkıda bulunur. Ayrıca bir AI sisteminin neden yapıldığı karara geldiğini anlama konusu da var. Başka bir deyişle, kendini açıklayabilir mi? Belirli adımların atılmasının nedenini anlamak, saldırgan güvenliğin kritik bir yönüdür ve bunu yapamama sürecin güvenilirliğini zayıflatır.
Veri setlerinin en son güvenlik açıklarıyla sürekli olarak güncellenmesi için de kritiktir. AI araçları sadece onları besleyen veriler kadar iyidir – zayıf veriler düşük performansa yol açacaktır. Bunun için ve yukarıda belirtilen nedenler, bir tür insan gözetimini kontrol ve denge aracı olarak korumak önemlidir.
Teknik zorluklar da oyunda olanlar değil. AI, en azının veri yanlılığı olan değil, ele alınması gereken bir dizi etik sorun getirir. Bir önyargı, belirli bir popülasyonu veya senaryoyu doğru bir şekilde yansıtamayan verilerden, tarihsel önyargı, yanlış bilgi ve hatta veri kümesinde kötü niyetli değişikliklerden kaynaklanıyor olsun, sonuç aynı – bozulmuş performans, hatalar ve sisteme güven eksikliğidir. Veri dökülmesi ve AI sisteminin bir test kapsamı dışından hassas veya kişisel veriler kullanıp kullanmadığı, hesap verebilirlik gibi başka bir endişe kaynağıdır.
Kötüye kullanımı azaltmak
Sorunlara rağmen, AI saldırgan güvenlik operasyonları söz konusu olduğunda masaya çok şey getiriyor. Aşağıda belirtilenler gibi iyi düşünülmüş azaltma stratejileri kullanmak, kötüye kullanımı önlemek ve sorumlu kullanımı teşvik etmek için uzun bir yol kat edecektir.
- AI çıktılarını doğrulamak için insan gözetimi, daha fazla doğruluk ve daha az istenmeyen sonuç sağlamak için uzun bir yol kat edecektir.
- Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) AI Risk Yönetimi Çerçevesi ve OWASP’nin LLM AI Güvenliği ve Yönetişim Listesi gibi güçlü yönetişim, risk ve uyum (GRC) çerçeveleri kullanmak güvenli, güvenli ve etik AI kullanımı sağlanmaya yardımcı olacaktır.
- Anomali tespiti ile birlikte sıkı erişim kontrolleri, AI sistemlerinin yetkisiz erişim ve kötüye kullanımdan korunmaya yardımcı olacaktır.
- Hassas bilgileri korumak için gizlilik koruyan tekniklerin ve veri anonimleştirme yöntemlerinin kullanılması da, veri gizlilik düzenlemelerine (örneğin GDPR, CCPA) uyum sağlamanın yanı sıra kullanılmalıdır.
- Gerçek zamanlı anomali algılama teknikleri ile birlikte geri bildirim döngüleri, yanlış negatifleri azaltmak için çalışacaktır.
- AI eylemlerinin kararlaştırılan sınırları aşmamasını veya istenmeyen zararlara neden olmasını sağlamak için etik yönergeler oluşturulmalıdır.
- AI karar verme süreçlerini daha anlaşılır ve izlenebilir hale getirmek için özellik önemi puanlama ve model denetim gibi teknikler uygulanmalıdır.
AI gelişmiş ajans ve otomasyon sunuyor
Yapay zeka odaklı kullanımı, saldırı güvenlik ekiplerinin etkinliğini önemli ölçüde artırmıştır. Güvenlik ekipleri, artan verimliliğe yol açan görevleri otomatikleştirerek ve ölçeklendirerek, çalışmalarını şirketlerinin hedefleriyle daha iyi hizalayabilir ve çabalarını en önemli olduğu yere yoğunlaştırabilir.
Ancak henüz, hiçbir AI aracı saldırgan güvenliğin tüm yönlerini mükemmel bir şekilde işleyemez. Bu nedenle, şirketlerin, ihtiyaçları için hangilerinin en etkili çözümleri sunduğunu görmek için çeşitli AI araçlarını denemeleri için çok yönlü bir yaklaşım benimsemesi önemlidir. Buna uygun olarak, şirketlerin AI’nın başka bir şekilde değil, insanlar için çalışmasını sağlamak için güçlü bir etik ve sorumlu AI kültürünü teşvik ettiklerinden emin olmaları gerekir.
Yapay zekaya ölçülen bir yaklaşım benimseyerek, kuruluşlar savunma yeteneklerini güçlendirebilecek ve rekabette bir bacak kazanabilecekler.
Yazar hakkında
Sean Heide, Bulut Güvenliği İttifakı’nın teknik araştırma direktörüdür. Sean, siber güvenliğe geçmeden önce ilk yıllarını seferi savaşı Donanma İstihbarat Analisti olarak geçirdi. CSA ile yapılan mevcut araştırması, kurumsal mimarlık ve güvenlik politikası ayarlamasına, en büyük tehdit tanımlamalarına odaklanmakta ve CISO’lar ve güvenlik liderlerinin işletmenin kritik alanlarındaki boşluğu kapatmaları için bir girişim başlatmaya yardımcı olmaktadır. Colorado Eyalet Üniversitesi’nden bilgi teknolojisi derecesi ile mezun oldu ve aynı kurumdan Bilgi Teknolojileri Yönetimi ve Siber Güvenlik Bilim Yüksek Lisansını almaya devam etti. Boş zamanlarında Sean, ev laboratuvarını ihlal etmeye, yeni güvenlik kavramlarını öğrenmeye veya video oyunları oynamaya çalışırken bulunabilir. Sean’a çevrimiçi olarak LinkedIn.com/in/seanheide ve şirket web sitemizde https://cloudsecurityalliance.org/ adresinden ulaşılabilir.