Bir saldırgan veri yükü göndermeden önce ortamınızın nasıl oluşturulduğunu anlama işini zaten yapmış demektir. Giriş akışlarınıza, JavaScript dosyalarınıza, hata mesajlarınıza, API belgelerinize, GitHub depolarınıza bakarlar. Bunların hepsi sistemlerinizin nasıl davrandığını anlamalarına yardımcı olan ipuçlarıdır. Yapay zeka, keşifleri önemli ölçüde hızlandırıyor ve saldırganların ortamınızı daha yüksek hız ve hassasiyetle haritalandırmasına olanak tanıyor.
Anlatı genellikle yapay zekanın gösteriyi yürüttüğünü gösterirken, yapay zekanın saldırı operasyonlarını uçtan uca devraldığını görmüyoruz. Yapay zeka, döngüde insan olmadan özerk bir şekilde istismarlar yazmıyor, zincirleme saldırılar yapmıyor ve sistemleri ihlal etmiyor. bu ne öyle Bunu yapmak, saldırganın iş akışının ilk ve orta aşamalarını hızlandırmaktır: bilgi toplamak, onu zenginleştirmek ve yürütmeye yönelik makul yollar oluşturmak.
Bunu yapay zeka tarafından oluşturulan yazı gibi düşünün; Yapay zeka, doğru parametreler verildiğinde hızlı bir şekilde bir taslak oluşturabilir ancak sonucun faydalı olması için yine de birisinin onu incelemesi, hassaslaştırması ve ayarlaması gerekir. Aynı durum saldırı güvenliği için de geçerlidir. Yapay zeka, geleneksel algoritmalardan daha yüksek düzeyde veri yükleri oluşturabilir ve birçok işlevi gerçekleştirebilir, ancak henüz etkili olmaları için yönlendirme ve bağlama ihtiyaç duyuyorlar. Bu değişim önemlidir çünkü maruz kalmayı düşündüğümüz şeyi genişletir.
Eski bir kütüphane, yalnızca bilinen bir CVE’ye sahip olması durumunda bir sorumluluk teşkil ediyordu. Bugün, saldırgana hangi çerçeveyi kullandığınızı söylemesi ve çalışan bir saldırı yolunu daraltmasına yardımcı olması bir sorumluluk olabilir. Fark bu. Yapay zeka, görünüşte zararsız ayrıntıların kaba kuvvetle değil, daha iyi kavrama yoluyla eyleme geçirilebilir içgörülere dönüştürülmesine yardımcı olur. Yani yapay zeka, saldırganların içeri girme şeklini değiştirmese de nereye bakacaklarına ve neyin zaman ayırmaya değer olduğuna karar verme şekillerini değiştiriyor.
Yapay Zekanın Keşif Süper Güçleri
Neyin alakalı, neyin savunmasız olduğunu ve neyin takip edilmeye değer olduğunu belirlemeye yönelik karar verme süreci, yapay zekanın zaten değerini kanıtladığı yerdir.
Gücü, yapılandırılmamış verileri uygun ölçekte anlamlandırmasında yatmaktadır, bu da onu keşif için çok uygun hale getirmektedir. Yapay zeka, dışarıya yönelik büyük hacimli bilgileri ayrıştırabilir ve düzenleyebilir: web sitesi içeriği, başlıklar, DNS kayıtları, sayfa yapıları, oturum açma akışları, SSL yapılandırmaları ve daha fazlası. Bu verileri bilinen teknolojilere, çerçevelere ve güvenlik araçlarına göre düzenleyerek saldırganın perde arkasında nelerin yürüdüğünü daha net anlamasını sağlar.
Dil artık bir engel değil. Yapay zeka, herhangi bir dildeki hata mesajlarından anlam çıkarabilir, bölgeler arasındaki teknik belgeleri ilişkilendirebilir ve bir insan incelemecinin fark edemeyeceği adlandırma kurallarını veya kalıplarını tanıyabilir.
Aynı zamanda bağlamsal eşleştirmede de mükemmeldir. Bir uygulama sürümlü bir JavaScript kitaplığını açığa çıkarıyorsa yapay zeka çerçeveyi tanımlayabilir, ilgili riskleri kontrol edebilir ve bu bağlama göre bilinen teknikleri eşleştirebilir. Yeni yöntemler icat ettiği için değil, verilere nasıl hızlı ve kapsamlı bir şekilde çapraz referans verileceğini bildiği için.
Kısacası yapay zeka, oldukça verimli bir keşif ve zenginleştirme katmanı haline geliyor. Saldırganların yeni bir şey yaparak değil, çok daha fazla ölçek ve tutarlılıkla tanıdık bir şey yaparak öncelik vermelerine ve odaklanmalarına yardımcı olur.
Yapay Zeka Web Uygulaması Saldırılarını Nasıl Değiştiriyor?
Yaygın web saldırı tekniklerini nasıl şekillendirdiğine baktığınızda yapay zekanın etkisi daha da görünür hale geliyor:
Kaba zorlamayla başlayın. Geleneksel olarak saldırganlar, kimlik bilgilerini tahmin etmek için statik sözlüklere güvenir. Yapay zeka, bölgesel dil kalıplarını, role dayalı varsayımları ve hedef kuruluşa özgü adlandırma kurallarını kullanarak daha gerçekçi kombinasyonlar üreterek bunu geliştirir. Ayrıca etkileşimde bulunduğu sistemin türünü (belirli bir veritabanı, işletim sistemi veya yönetici paneli) tanır ve en alakalı varsayılan kimlik bilgilerini denemek için bu bağlamı kullanır. Bu hedefe yönelik yaklaşım gürültüyü azaltır ve daha az, daha akıllı girişimlerle başarı olasılığını artırır.
Yapay zeka aynı zamanda yorumlamayı da geliştirir. Sayfa yapısındaki değişiklikler, hata mesajlarındaki değişiklikler veya yönlendirme davranışı gibi oturum açma davranışındaki ince değişiklikleri tespit edebilir ve yaklaşımını buna göre ayarlayabilir. Bu, hatalı pozitif sonuçların azaltılmasına yardımcı olur ve bir deneme başarısız olduğunda daha hızlı dönüş yapılmasını sağlar.
Örneğin, geleneksel bir komut dosyası, başarılı bir oturum açma işleminin sayfa içeriğindeki yüzde 70’lik bir değişiklikle gösterildiğini varsayabilir. Ancak kullanıcı, farklı görünen ancak sonuçta “Hesap çok fazla denemeden sonra kilitlendi” gibi bir hataya yol açan geçici bir açılış sayfasına yönlendirilirse, komut dosyası bunu yanlış bir başarı olarak sınıflandırabilir. Yapay zeka, girişin başarılı olmadığını fark ederek ve stratejisini buna göre uyarlayarak içeriği, durum kodlarını ve akışı daha bütünsel bir şekilde analiz edebilir.
Bu bağlam farkındalığı, yapay zekayı geleneksel kalıp eşleştirme araçlarından ayıran şeydir. Yer tutucu kimlik bilgileri gibi geleneksel kimlik bilgisi toplama araçları için yaygın bir yanlış pozitif:
İlk bakışta, sabit kodlanmış kimlik bilgileri içeriyor gibi görünüyor. Ancak gerçekte bu, example.com alanına atıfta bulunan zararsız bir yer tutucudur. Geleneksel araç yine de bunu işaretledi. Yapay zeka ise tam tersine, çevredeki bağlamı değerlendiriyor ve bunun gerçek bir sır olmadığının farkına varıyor. Testlerde, modellerin bunu “Hassas: yanlış” ve “Güven: yüksek” olarak etiketleyerek gürültüyü azaltmak için yanlış pozitifleri filtrelemeye yardımcı olduğunu gördük.
Yapay zeka ayrıca saldırganların bir uygulamanın davranışını keşfetme şeklini de geliştirir. İş akışlarının bulanıklaştırılmasında, gözlemlenen sonuçlara dayalı olarak yeni girdiler önerebilir ve uygulama yanıt verdikçe bu girdileri hassaslaştırabilir. Bu, iş mantığı kusurlarının, bozulmuş erişim kontrollerinin veya her zaman uyarıları tetiklemeyen diğer incelikli güvenlik açıklarının ortaya çıkarılmasına yardımcı olur.
Yürütme söz konusu olduğunda yapay zeka, gerçek zamanlı tehdit istihbaratına dayalı olarak yüklerin oluşturulmasına yardımcı olur. Bu, platformların yeni gözlemlenen teknikleri daha hızlı taklit etmesini sağlar. Bu yükler körü körüne konuşlandırılmaz. Kullanılmadan önce gözden geçirilir, çevreye uyarlanır ve doğruluk ve güvenlik açısından test edilirler. Bu, ortaya çıkan tehditler ile anlamlı doğrulama arasındaki boşluğu kısaltır.
Daha gelişmiş senaryolarda yapay zeka, açığa çıkan verileri saldırının kendisine dahil edebilir. Platform, bir test sırasında adlar veya e-posta adresleri gibi kişisel olarak tanımlanabilir bilgileri tespit ederse, bir sonraki aşamada bu verileri otomatik olarak uygulayabilir. Bu, gerçek bir saldırganın o anda nasıl uyum sağlayabileceğini yansıtan, kimlik bilgisi doldurma, kimliğe bürünme veya yanal hareket gibi eylemleri içerir.
Bu yetenekler hep birlikte yapay zeka odaklı saldırıları daha verimli, daha uyarlanabilir ve daha inandırıcı hale getiriyor. Temel teknikler aynı kalır. Aradaki fark; hız, doğruluk ve bağlamı uygulama yeteneğindedir; savunmacıların artık gözden kaçırmayı göze alamayacağı bir şey.
Yapay Zeka Çağında Maruz Kalmayı Yeniden Düşünmek
Yapay zekanın keşif iş akışları üzerindeki etkisi, savunmacıların açığa çıkma konusunda nasıl düşünmeleri gerektiği konusunda bir değişim yaratıyor. Artık yalnızca neyin ulaşılabilir olduğunu değerlendirmek yeterli değil: IP aralıkları, açık bağlantı noktaları, dışarıdan erişime açık hizmetler. Yapay zeka, bağlama dayalı olarak çıkarım yapılabilecekleri içerecek şekilde tanımı genişletir.
Buna meta veriler, adlandırma kuralları, JavaScript değişken adları, hata mesajları ve hatta altyapınızın nasıl dağıtıldığına ilişkin tutarlı modeller dahildir. Yapay zekanın ortamınızdan değer elde etmek için root erişimine ihtiyacı yoktur. Sadece birkaç gözlemlenebilir davranışa ve bunları anlamlandırmak için yeterince büyük bir eğitim setine ihtiyacı var.
Maruz kalma bir spektrumdur. Teknik olarak “güvenli” olabilirsiniz ancak yine de bir saldırganın mimarinizin, teknoloji yığınınızın veya kimlik doğrulama akışınızın haritasını oluşturması için yeterli ipucu sağlayabilirsiniz. Bu, yapay zekanın çıkarmada üstün olduğu türden bir içgörü.
Güvenlik araçları geleneksel olarak doğrudan risk göstergelerine öncelik verir: bilinen güvenlik açıkları, yanlış yapılandırmalar, yama uygulanmamış bileşenler veya şüpheli etkinlik. Ancak yapay zeka farklı bir boyut getiriyor. Savunmasız bileşenlerin varlığını doğrudan tarayarak değil, davranış kalıplarını, mimari ipuçlarını veya bilinen saldırı yollarıyla eşleşen API yanıtlarını tanıyarak anlayabilir. Bu çıkarım tek başına bir uyarıyı tetiklemez ancak saldırganın karar vermesine rehberlik edebilir ve giriş noktası arayışını daraltabilir.
Yapay zekanın hızlı bir şekilde ortamların profilini çıkarabildiği bir dünyada, eski “tarama ve yama” modeli yeterli değildir. Savunmacıların sadece yararlanılabilecekleri değil, öğrenilebilecekleri de azaltmaları gerekiyor.
Bu, defans oyuncuları için neyi değiştirir?
Yapay zeka keşif ve karar almayı hızlandırdıkça, savunmacıların da aynı düzeyde otomasyon ve zekayla karşılık vermesi gerekiyor. Saldırganlar ortamınızı incelemek için yapay zekayı kullanıyorsa, ne bulmaları muhtemel olduğunu anlamak için sizin de yapay zekayı kullanmanız gerekir. Eğer sistemlerinizin nasıl davrandığını test ediyorlarsa, önce onları test etmeniz gerekir.
Bu, maruz kalmanın yeni tanımıdır. Bu sadece erişilebilir olan şey değil. Analiz edilebilen, yorumlanabilen ve eyleme dönüştürülebilen şey budur. Ve eğer bunu sürekli olarak doğrulamıyorsanız, çevrenizin gerçekte neleri ortaya çıkardığına körü körüne uçuyorsunuz demektir.
Saldırı yüzeyinizi bir saldırganın gözünden görmek ve savunmanızı onların kullandığı tekniklerin aynısını kullanarak doğrulamak artık hoş bir şey değil. Ayak uydurmanın tek gerçekçi yolu bu.
Pentera Labs’in en son yapay zeka tehdit araştırmasına içeriden bir göz atın. Yapay Zeka Tehdit Araştırması vSummit’e kaydolun ve bir sonraki saldırı dalgasının önünde kalın.
Not: Bu makale Pentera Araştırma ve Siber Güvenlikten Sorumlu Başkan Yardımcısı Alex Spivakovsky tarafından yazılmış ve katkıda bulunmuştur.