Siber güvenlikte bir sabit varsa o da rakiplerin her zaman yenilik yapmasıdır. Saldırgan yapay zekanın yükselişi, saldırı stratejilerini dönüştürüyor ve bunların tespit edilmesini zorlaştırıyor. Google’ın Tehdit İstihbarat Grubu, kısa süre önce, saldırganların hem kodu gizlemek hem de anında kötü amaçlı komut dosyaları oluşturmak için Büyük Dil Modelleri (LLM’ler) kullandığını ve kötü amaçlı yazılımların geleneksel savunmalardan kaçmak için gerçek zamanlı olarak şekil değiştirmesine izin verdiğini bildirdi. Bu yeni saldırılara daha derinlemesine bakıldığında hem benzeri görülmemiş bir karmaşıklık hem de aldatmaca ortaya çıkıyor.
Kasım 2025’te Anthropic, bilinen ilk “Yapay Zeka tarafından yönetilen siber casusluk kampanyası” olarak tanımladığı şeyi bildirdi. Bu operasyon, yapay zekanın kendisi tarafından büyük ölçüde özerk bir şekilde yürütülen, ilk erişimden sızmaya kadar saldırı aşamaları boyunca yapay zekanın entegre edilmesini içeriyordu.
Son zamanlardaki bir başka trend, imza tabanlı taramaları aşan steganografi tekniklerini (görüntü dosyaları içinde kötü amaçlı yazılımları gizlemek) kullanan ClickFix ile ilgili saldırılarla ilgilidir. Meşru yazılım güncelleme ekranları veya CAPTCHA’lar gibi ustaca gizlenen bu saldırılar, kullanıcıları kandırarak uzaktan erişim truva atlarını (RAT’lar), bilgi hırsızlarını ve diğer kötü amaçlı yazılım yüklerini kendi cihazlarına dağıtmasına neden oldu.
Saldırganlar ayrıca sosyal mühendislik, ortadaki saldırı ve SIM değiştirme tekniklerinin bir kombinasyonunu kullanarak anti-virüs (AV) hariç tutma kurallarını tetikleme ve ardından tehlikeye atma yollarından da yararlanıyor. Microsoft’un tehdit ekibinin Ekim 2025 tarihli araştırmasına göre Octo Tempest adını verdikleri tehdit aktörü, kurbanlarını çeşitli güvenlik ürünlerini devre dışı bırakmaya ve e-posta bildirimlerini otomatik olarak silmeye ikna etti. Bu adımlar, kötü amaçlı yazılımlarının uç nokta uyarılarını tetiklemeden kurumsal bir ağa yayılmasına olanak tanıdı. Aktörler ayrıca uç noktalarda AV yazılımını tespit etme ve devre dışı bırakma konusunda uzmanlaşmış dinamik ve uyarlanabilir araçları da kolaylıkla devreye alıyor.
Tüm bu tekniklerin ortak bir noktası var: uç nokta tespiti ve yanıtı (EDR) gibi eski savunmalardan kaçma yeteneği, yalnızca EDR’ye güvenmenin sınırlamalarını ortaya çıkarma yeteneği. Başarıları, tek başına ve ek savunma önlemleri olmadan hareket eden EDR’nin nerede savunmasız olabileceğini gösteriyor. Bunlar, dijital savunmaları yıkmak için yapay zeka otomasyonunu ve zekasını kullanan, kelimenin tam anlamıyla yeni saldırılardır. Bu an, siber tehdit ortamında temel bir değişimin sinyalini veriyor ve savunma stratejisinde hızla bir değişikliğe yol açıyor.
NDR ve EDR birlikte çalışıyor
Yapay zeka tabanlı tehditler çağında, özellikle bu saldırılar daha yüksek hızlarda ve daha büyük ölçekte çalışabildiğinden, her iki sistemin birlikte çalışmasına ihtiyaç duyulmaktadır. Bazı EDR sistemleri, yapay zeka destekli saldırıların hızı ve ölçeği için tasarlanmamıştır. NDR, bu ağ anormalliklerini tespit edebilir, savunmaları güçlendirebilir ve bu tamamlayıcı teknolojinin sağlayabileceği ek korumadan yararlanarak bu ağ verilerinden daha derin içgörüler elde edebilir.
Günümüzün saldırı yüzeyinin genişlemesi ve daha karmaşık hale gelmesi bu zorluğu daha da artırmaktadır. Artık gelişmiş tehdit aktörleri çeşitli alanlarda hareket eden tehditleri birleştirinÖlümcül bir karışım halinde kimlik, uç nokta, bulut ve şirket içi altyapıdan ödün veriliyor. Bu, bu tehditleri bulup durdurmak için bu odak alanlarının her birindeki ilgili güvenlik sistemlerinin birlikte çalışması, meta verileri ve diğer sinyalleri paylaşması gerektiği anlamına gelir. Kötü aktörler, çeşitli roller üstlenmek ve farklı ara hedeflere odaklanmak için farklı hackleme araçlarını kullanırken erişim alanlarını en üst düzeye çıkarmak, patlama yarıçaplarını artırmak ve koruma sağlamak için bu karmaşıklığın arkasına saklanırlar.
Nisan 2024’ten bu yana aktif olan bir grup olan Blockade Spider, bu karma alanları fidye yazılımı saldırıları için kullanıyor. Yönetilmeyen sistemleri bularak erişim sağladıktan sonra, ağ üzerinde yanlamasına hareket ederek fidye almayı denemek için şifrelenecek bir dosya koleksiyonu ararlar. Yaklaşımlarının tüm kapsamı, sanal sistemlere ve bulut özelliklerine görünürlük sağlamak için NDR’nin kullanılması ve ardından saldırı ağ üzerinden yönetilen uç noktalara doğru ilerlerken EDR’nin kullanılmasıyla keşfedildi.
En kötü şöhrete sahip varyantlardan biri, Microsoft’un 2023’te gözlemlediği Volt Typhoon saldırısında kullanılan saldırıdır. Bu saldırı, uç nokta tespitinden kaçınmalarına yardımcı olan araziden yaşama (LoTL) tekniklerini kullanan Çin devleti destekli aktörlere atfedilmektedir. Hedefleri, SOHO yönlendiricileri ve diğer Nesnelerin İnterneti (IoT) donanımları gibi yönetilmeyen ağ uç cihazlarıydı. Aktörler, kaynak paketleri, Çin IP adresine doğrudan bir bağlantı yerine, Teksas’taki bir kablolu modemden geliyormuş gibi görünecek şekilde değiştirmeyi başardılar. Oyunu ele veren şey ağ trafiğiydi. EDR’den kaçınmada başarılı olsalar da, NDR tarafından tespit edilen ağ trafiği hacmindeki değişiklikler, kaynak kablolu modem trafiğinin aslında çok daha kötü niyetli bir şeyi gizlediğini gösterdi. Bu durumda NDR, EDR sistemlerini aşan kötü amaçlı etkinlikleri tespit ederek bir güvenlik ağı görevi gördü.
Uzaktan çalışmanın artması güvenlik açığını da artırıyor. VPN’ler uzak iş gücünü desteklemek için daha yaygın olarak kullanıldıkça, yeni istismar fırsatları yaratıyorlar. Uzak ağlarda görünürlük eksikliği, güvenilir bir bağlantıdaki tehlikeye atılmış bir uç noktanın kuruluşun ortamına zarar verebileceği anlamına gelir. EDR, VPN çalıştıran yerel bir makineye zaten kötü amaçlı yazılım bulaştığını tespit etmezse, makine kurumsal ağa bağlandığında bu durum kuruluş geneline kolayca yayılabilir. Güvenliği ihlal edilmiş VPN’ler, tipik ağ işlemleri ve yönetim araçları arasında kendini gizleyen yanal ağ hareketini de gizleyebilir. Örneğin, Salesforce tedarik zincirlerinde yakın zamanda gerçekleşen iki ihlal, çeşitli müşteri hesaplarına yetkisiz erişim elde etmek amacıyla OAuth kimlik bilgilerini toplamak için yapay zeka kullanılarak gerçekleştirildi. NDR, zayıf giriş ve geçiş noktalarını tespit ederek öncelikle düzeltilmesi gereken en riskli alanların belirlenmesine yardımcı olabilir ve EDR, güvenliği ihlal edilmiş bir hesabın pivot noktası olarak kullanıldığına dair kanıtları paylaşabilir.
Bunlar ve diğer istismarlar, EDR ve NDR’nin birlikte çalışmasıyla sürekli izlemenin faydalarını vurgulayarak, savunmacıların yenilikçi rakip teknikleri tespit etmesine ve ortaya çıkan tehditlere hızlı ve kararlı bir şekilde yanıt vermesine olanak tanıyor. Yapay zeka geliştikçe rakipler daha yetenekli hale gelecek ve bu birleşik yaklaşım, riski azaltmak ve kuruluşunuzun hızlı ve kararlı bir şekilde yanıt verme yeteneğini geliştirmek için gerekli hale gelecektir.
Corelight’ın Açık NDR Platformu, SOC’lerin yapay zeka tekniklerinden yararlananlar da dahil olmak üzere yeni saldırı türlerini tespit etmesini sağlar. Çok katmanlı algılama yaklaşımı, bir dizi benzersiz ve olağandışı ağ etkinliğini tanımlayabilen davranışsal ve anormallik algılamalarını içerir. Rakipler EDR sistemlerinden kaçmak için yeni yöntemler geliştirdikçe, NDR’yi kullanan güvenlik ekipleri işletmelerinin savunma oyununu güçlendirebilir. Daha fazla bilgi edinmek için corelight.com/elitedefense adresini ziyaret edin.