Yapay zeka sayesinde kimlik avı saldırıları her zamankinden daha iyi. Onları durdurma yeteneğimiz de öyle.
Yazan: Antonio Sanchez, Fortra’nın Baş Siber Güvenlik Evangelisti
Yapay zeka, siber suçlar bağlamında her zaman gizlenen bir tehdit olmuştur. ChatGPT, 2022’nin sonlarında ortaya çıktığından beri, kimlik avı saldırılarını daha inandırıcı, daha ulaşılabilir ve daha yaygın hale getirmek için çeşitli beceri seviyelerinde siyah şapkalarla kullanıldı. Sadece nicelikte değil, aynı zamanda – ve işin daha da kötü olan kısmı – nitelikte de bir artış oldu.
Neyse ki alet her iki tarafça da kullanılabiliyor. Tek soru şu olacak: onu kim daha iyi kullanacak?
Yapay zekanın kimlik avı üzerindeki etkisi
“Eğer bozuk değilse tamir etme.” Bir siber suç modeli olarak kimlik avı her zaman başarılı olmuştur. Bu nedenle, kimlik avcılarının aynı eski teknikleri, hatta daha iyisini yeniden yaratmak için üretken yapay zekayı kullandığını görüyoruz. Sonuç? ChatGPT’nin kullanıma sunulmasından bu yana kimlik avı e-postalarında %1.235 oranında eşi benzeri görülmemiş bir artış yaşandı.
Üretken yapay zeka ve geniş dil modelleri (LLM) sayesinde kimlik avı e-postaları artık birçok dilde mükemmel dilbilgisi ve yazımla gönderiliyor. Mükemmel Japonca’da bir kimlik avı saldırısına mı ihtiyacınız var? Artık bunu alabilirsiniz. Yapay zekanın herhangi bir dilde kusursuzca çalışabilme yeteneği, girişimci siyah şapkalılara yeni alanlar açtı. Ek olarak, yapay zekanın kişisel ayrıntılar için sosyal medyayı ve genel olarak interneti tarama yeteneği, büyük ölçekli hedef odaklı kimlik avını da mümkün kıldı. Eskiden insanların günlerini alan işlemler artık saniyeler veya daha kısa sürüyor.
Ama bekleyin; durum daha da kötüleşiyor. Yeni yapay zeka teknikleri aynı zamanda bunların tespit edilmesini de zorlaştırıyor. Bu tespitten kaçınma taktikleri, saldırıların yalnızca amaçlanan hedefe sunulmasını ve aksi takdirde tespit süreçleri için ‘ölü taklidi yapmasını’ sağlar. Bunlar, kelime cümlelerini ve yapısını değiştirmekten, anında polimorfik kötü amaçlı yazılım oluşturmaya kadar her şeyi içerir.
Kimlik avının en güçlü yönünü, yani sosyal mühendislik zanaatını da unutmayalım. Üretken yapay zekanın yeni kimlik sahteciliği yöntemleri sayesinde neyin gerçek olduğunu, neyin olmadığını söylemek her zamankinden daha zor. Bu, deepfake videolarda, sesli kimlik avında ve hatta QR kodu kimlik avında (quishing) kanıtlanmıştır.
Yapay zekayla savaşmak için yapay zekayı kullanma
İyi haber şu ki yapay zeka en azından güvenlik bağlamında tarafsızdır. Onu kim kullanırsa kullansın, onu kendi iradesine göre şekillendirebilir ve güvenlik de onu kullanmakta yavaş davranmadı.
Yapay zeka tabanlı kimlik avına karşı mücadelede, yeni kimlik avı altyapısını belirlemek amacıyla web’de tarama yapmak için kullanılıyor. Bunu insanlardan çok daha hızlı yapabileceğini söylemeye gerek yok. Aynı notta, yapay zeka, petabaytlarca veri üzerindeki farklı kalıpları tespit etme yeteneğinden de yararlanılıyor ve böylece gizli saldırıların belirlenmesinde kullanışlılığı kanıtlanıyor. Operasyonel olarak, yapay zeka tabanlı tespit ve müdahale araçları, bunalmış ekiplerin personel takviyesi yapmadan seviye atlamalarına yardımcı oluyor ve hatalı pozitifleri azaltan veteriner uyarıları, tükenmişlik ve bunalımın önlenmesine yardımcı oluyor.
Hatırlanması gereken tek şey yapay zekanın hala öğretmen değil öğrenci olduğudur. Zor kararları vermek, veri analizinden gelen kararları yönetmek ve (şimdilik) ilk etapta sistemleri devreye almak için hâlâ insan gözüne ve zihnine ihtiyaç var.
İnsan Unsurunun Gerekliliği
Yapay zekanın savunma tarafında ancak bu kadarını yapabileceği açıktır. Dünyadaki yapay zeka tarafından toplanan tüm veriler, onlarla ne yapılacağını bilme uzmanlığı olmadan hiçbir işe yaramaz. Birinin iş akışlarını oluşturması, birinin olay müdahalesini onaylaması ve incelemesi ve bir şeylerin ters gittiğini birisinin ekipteki diğer insanlara söylemesi gerekiyor.
Ve bu kişinin her zaman BT Adamı Steve olması gerekmiyor. Bugünlerde böyle bir durum söz konusuysa, tüm çalışanların, özellikle de teknik olmayan rollere sahip olanların en son siber suç trendlerinden haberdar olması gerekir. İK başkanının en son AI odaklı kimlik avı taktiklerini sistem yöneticiniz kadar, hatta daha fazlasını bilmesi gerekir. E-postaların “kimlik avı” gibi görünen deepfake’lere karşı dikkatli olmaları gerektiğini ve Microsoft’un Teams oturum açma bilgilerini güncellemek için onlara istenmeyen bir istek gönderip göndermediğini neden her zaman BT’ye kontrol etmeleri gerektiğini bilmeleri gerekiyor.
Bu nedenle güvenlik farkındalığı eğitimi (SAT) hayati önem taşımaktadır. Kimlik avı simülasyon kampanyaları, çalışan tabanınızı en son teknikler konusunda eğitebilir ve onların günümüzün kimlik avı dolandırıcılığının gerçek dünyadaki taktiklerini tanıma yeteneklerini test edebilir. Sonuçlar aydınlatıcı olabilir ancak daha fazla pratik yapıldıkça başarısızlık oranları düşer. Küresel bir üretici, SAT programının ardından kimlik avı tıklama oranlarının yaklaşık %40’tan %15’in altına düştüğünü gördü.
Çözüm
Yapay zeka kimlik avı için oyunu değiştiriyor mu? Evet ama değişim her iki yöne de gidiyor. Bir bakıma, siber güvenlik olan kedi-fare oyununa devam ederken, ancak yarış arabalarıyla da başa dönüyoruz. Önemli olan yarışın henüz kazanılmamış olmasıdır.
Yapay zekanın çeşitli kullanım alanlarını keşfetmeye devam ettikçe, bu yetenekleri herkesin gizli silahlarıyla, evet insanlarla birleştirebiliriz. İnsan unsuru hafife alınmamalıdır; güvenlik ekiplerinde ya da sıradan çalışanlar arasında değil. Saldırganların sahip olduğu en büyük silahlardan ikisi cehalet ve umursamazlıktır ve ortalama iş gücünün güvenlik odaklılığını artırarak bunları büyük ölçüde azaltabilir ve insan hatasını azaltabiliriz. Yapay zeka siber güvenlik araçlarının zaten yapay zeka tabanlı kimlik avı saldırılarıyla rekabet halinde olabileceği gerçeği göz önüne alındığında, aradaki fark, ölçeği değiştirmeye yetebilir.
yazar hakkında
Antonio Sanchez, Fortra’nın Baş Siber Güvenlik Evangelistidir. Fortra’nın güvenlik portföyünün konu uzmanı olan Antonio, Fortra markasının pazarda tanınmasına yardımcı oluyor. Fortra’ya 2023 yılında Alert Logic’ten katıldı ve burada Yönetilen Tespit ve Yanıt (MDR) işi için mesajlaşma, konumlandırma ve teknik içerik geliştirdi. Alert Logic, 2022 yılında Fortra tarafından satın alındı.
Antonio’nun BT sektöründe her ölçekteki kuruluşun tehditleri yönetmesine ve güvenlik duruşlarını iyileştirmesine yardımcı olmak için siber güvenlik, bilgi yönetimi ve felaket kurtarma çözümlerine odaklanan 20 yılı aşkın tecrübesi vardır. Sertifikalı Bilgi Sistemleri Güvenliği Uzmanıdır (CISSP).
Antonio, Dell, Forcepoint ve Symantec’te çeşitli ürün yönetimi, teknik satış ve stratejik pazarlama rollerinde bulunmuştur. İkincisinde, çekirdek güvenlik birimi için Rekabetçi İstihbarat Programının geliştirilmesinden ve yönetilmesinden sorumluydu. www.fortra.com