Günümüzün dijital ekonomisinde veriler, yapay zeka (AI), heyecan verici kullanıcı deneyimleri, öngörücü analitik artış ve operasyonel verimliliği artırma konusundaki rolü nedeniyle genellikle “yeni petrol” olarak tanımlanmaktadır. Bununla birlikte, uluslararası ticaret yasaları ve çevre kontrolleri yoluyla düzenlenen petrolün aksine, verilerin, sağlam bir gözetim eksikliği olduğunda, taciz edilmeyen yayılmaya ve sistemik maruziyete yol açabilecek petrol kadar kontrol ve gözetim yoktur.
Uygun yönetişim eksikliği ile yaratılan boşluğun siber tehditler için verimli bir zemin olduğu kanıtlanmıştır. Fidye yazılımı saldırıları, kampanyalarını otomatikleştirmek, kişiselleştirmek ve optimize etmek için makine öğrenimi kullanan tehdit aktörleri ile yapay zeka (AI) tarafından giderek daha fazla güçlendirilir.
Bu makalede, ayrım gözetmeyen veri toplama ve zayıf erişim kontrolleri ile karakterize edilen yetersiz veri yönetişiminin, ham siber gasptan akıllı, sistemik sabotaja kadar AI fidye yazılımı tehditlerinin evrimini nasıl sağladığını araştıracağız. Bazı gerçek dünya olayları ve etik dışı uygulamalar da tartışılacak ve Ai-güçlendirilmiş siber suç riskini azaltmak için önerilen yönetişim merkezli bir yaklaşım tartışılacaktır.
Tarihsel olarak, fidye yazılımı, kötü niyetli bir ek veya tehlikeye atılan bir web sitesinin bir sisteme kötü amaçlı yazılım yüklediği, dosyaları şifrelediği ve ele geçirilen dosyaları kurtarmak için bir şifre çözme anahtarı karşılığında ödeme talep ettiği birim odaklı bir tehdit modeli olarak çalışır. Fidye yazılımı saldırganlarının başarısı büyük ölçüde mağdurların bu kötü niyetli bağlantılara ne kadar kolay tıkladığına bağlıdır. Bu nedenle, başarılarını artırmak için, bazı kullanıcıların bu bağlantıları tıklayacağına dair güvence ile hedeflenen kurbanlara birden fazla bağlantı ve kimlik avı e -postaları gönderilir.
Ancak, çağdaş fidye yazılımı manzarası oldukça farklıdır. Tehdit aktörleri artık makine öğrenimini ve yapay zekayı operasyonlarına entegre ediyor, böylece gelişigüzel saldırılardan yüksek hedefli, veri odaklı kampanyalara geçiyor. Lockbit, CL0P ve Blackcat gibi fidye yazılımı grupları, Hizmet Olarak Fidye Yazılımı (RAAS) modeli altında çalışır ve sofistike siber suçlu işletmelere dönüşmüştür. Keşif geliştirmek, gasp stratejilerini uyarlamak ve dijital ekosistemler boyunca yanal hareketi otomatikleştirmek için AI özellikli araçlar benimserler. Çoğu durumda, bu sofistike saldırıların başarısı sadece AI’ya değil, aynı zamanda yönetişim boşluklarının ve başarısızlıklarının doğrudan bir sonucu olan korunmasız iç verilerin bulunmasına da dayanmaktadır.
Kuruluşlar günlük olarak büyük miktarda veri toplarken ve üretirken, çoğu veri, sunulabilir sömürülebilir koşullar ve belirsiz yönetişim politikaları nedeniyle AI destekli saldırganlar tarafından kullanılabilir. Aşağıda, yönetişim başarısızlıklarının fidye yazılımlarını mümkün kılan birkaç yol bulunmaktadır.
1. Amaçsız tahsilat üzerinde
Her veri toplama için, koleksiyonunun haklı bir nedeni olmalıdır. Bununla birlikte, birçok kuruluş açık yasal gerekçe veya tanımlanmış kullanım durumları olmadan büyük miktarlarda veri toplar. Bu verilerin bazıları genellikle kişisel olarak tanımlanabilir bilgiler (PII), finansal veriler, ticari sırlar ve dahili kayıtları içerir. Daha da kötüleştirmek için toplanan veriler doğru bir şekilde depolanmaz, şifrelenmez veya uygun şekilde atılmaz. Ne yazık ki, bu tür veriler tehlikeye atıldığında, saldırganlar bilginin terabaytlarını hızla ayrıştırabilir, tıbbi bilgi, yasal anlaşmazlıklar veya IP portföyleri gibi hassas materyalleri özelleştirilmiş fidye tehditleri için tanımlayabilir.
2. kontrolsüz erişim kontrolleri ve aşırı ayrıcalıklar
Kötü tanımlanmış roller ve izinler, çalışanları veya kötü niyetli saldırganları günlük faaliyetleri için gereken veya gerekenden daha fazla veriye erişmeye maruz bırakır. Bununla birlikte, saldırganlar bir AI sistemini ihlal edebildikten sonra, gevşek erişim kontrolleri ile ayrıcalık artışı kolaylaşır. AI, iç hiyerarşileri haritalamaya yardımcı olabilir ve tespiti önlemek için meşru davranışı simüle edebilir. En az ayrıcalık politikaları olmadan, rol tabanlı erişim kontrolleri kuruluşları fidye yazılımı saldırganlarına maruz bırakır.
3. Gölge IT ve Rogue Systems
Bir kuruluşun BT sistemlerine doğrulanmamış yazılımın sokulması, bu denetimsiz varlıklar genellikle uygun şifreleme, günlüğe kaydetme veya kimlik doğrulama mekanizmaları eksikliği ile zayıf bir şekilde güvence altına alınarak, güvenlik izleme araçlarına ve AI tehdit algılama araçlarına görünmez hale getirir. Başka bir deyişle, AI keşif botları bu tür sistemlerdeki güvenlik açıklarını başarılı bir şekilde tarayabilir ve savunmasız varlıklar bulabilir.
4. Veri sınıflandırması ve envanter eksikliği
Etkili savunma görünürlükle başlasa da, birçok kuruluş dijital varlıklarının kapsamlı, dinamik bir envanterinden yoksundur. Buna ek olarak, bu tür kuruluşlar içinde toplanan bazı veriler doğru bir şekilde kategorize edilmemiştir, bu da verilerin yüksek öncelikli veya düşük öncelikli kategoriler olarak sınıflandırılması için gerekli koruma politikalarının sağlamayı zorlaştırır. Bu tür ortamlarda, saldırganlar, özellikle yapılandırılmamış veriler içindeki hedefleri tanımlayabilen ve önceliklendirebilen AI ile donatıldığında, savunuculardan daha fazla stratejik netliğe sahiptir.
Sonuç olarak, saldırganlar kötü yönetilen veriler açısından zengin bir ortama eriştiklerinde, şunları eğitir ve dağıtırlar:
- Kavrulmuş e -postalar ve sohbet günlükleri konusunda eğitilmiş büyük dil modellerini kullanarak dahili iletişimin taklit edilmesi.
- Deepfake ses araçlarını kullanarak gerçekçi ses kimlik avı saldırıları (Vishing) üretme.
- Finansal verileri veya sigorta sözleşmelerini analiz ederek optimal fidye tutarlarının tahmin edilmesi.
- Düzenleyici duyarlılık veya kamuya açık risklere dayalı olarak şifreleme için yüksek etkili verilerin önceliklendirilmesi.
Endüstriyel ortamlarda dikkate değer bir siber güvenlik açıkları vakası 2021 sömürge boru hattı fidye yazılımı saldırısıydı. Saldırı, kullanılmayan bir hesaptan uzlaşmış bir VPN parolası kullandı ve ağa yetkisiz erişim ve güvenlik protokolleri ve düzenleyici kısıtlamalar üzerindeki dahili belgelere izin verdi. Bu saldırı, operasyonel teknoloji sistemlerinin de tehlikeye atılabileceği endişeleri nedeniyle operasyonel boru hattının önleyici kapatılmasıyla sonuçlandı ve şirketin operasyonel serpinti en aza indirmek için 4,4 milyon dolar ödemesini istedi. Saldırgan, sıfır güven segmentasyonu eksikliğinden dolayı şirketin altyapısına başarılı bir şekilde nüfuz edebilir ve sınırlı yanal harekete sahip olacak granüler yönetişim politikalarının yokluğundan yararlanabilir.
2022’de İngiltere Ulusal Sağlık Servisi, fidye yazılımı saldırısı ile hedeflendi, bu da günlük aktivitelerde kesintiler ve hasta bakımının geciktirilmesinin yanı sıra hasta verilerinden de kaynaklandı. Nutiz sonrası araştırmalar ve denetim, modası geçmiş sistemlerin kalıcılığını, yetersiz veri segmentasyonunu ve saldırganların sistemleri içinde yanal olarak hareket etmesini sağlayan yapılandırılmamış erişim kontrolünü ortaya çıkardı. Bu vaka çalışması aynı zamanda AI sistemlerinde veri segmentasyonu, minimizasyon ve şifreleme gibi korumaların gömülmesinin öneminin altını çizmektedir.
“Veri odaklı” olma arzusu genellikle kuruluşların mümkün olduğunca fazla veri toplamasına neden olur. Ancak, etik yönetişim olmadan veri toplama, bir kuruluşu riske saldıracak şekilde ortaya koymaktadır. Bir veri ihlali veya saldırı meydana geldiğinde, olay için kimin suçlanacağına dair bazı araştırmalar genellikle merkez aşamaya girer. Bu soru, siber güvenlik ve veri yönetişimi, karşılıklı bağımlılıklarına rağmen genellikle tek başına çalıştığı için daha geniş bir örgütsel kusurun altını çiziyor. Etik veri yönetimi, uygunluk kontrol listelerine dış kaynaklı değil, kurumsal stratejiye gömülmüş ortak bir sorumluluk olarak ele alınmalıdır.
Yapay zeka odaklı fidye yazılımlarının ortaya koyduğu benzersiz tehditleri azaltmak için kuruluşlar yönetişim modellerini ve politikalarını geliştirmeli ve her düzeyde uyum sağlamalıdır. Bazı önemli öneriler aşağıda vurgulanmıştır.
- Veri envanteri ve sınıflandırması: Merkezi bir yerde tüm veri varlıklarının bir envanterinin oluşturulması ve bakımı olmalıdır. Ayrıca, veriler hassasiyetine, düzenleyici görevlere ve iş kritikliğine göre sınıflandırılmalıdır.
- Amaç, sınırlama ve tutma kontrolleri: Veriler yalnızca tanımlanmış ve meşru bir amaç için toplanmalıdır. Ayrıca, sıkı depolama ve saklama politikaları, veri son kullanma iş akışlarının otomatikleştirilmesi ve yedek veya eski bilgileri ortadan kaldırmak için veri depolarının düzenli olarak denetlenmesi gerekir.
- Erişim Yönetimi: Verilerin mevcudiyeti yalnızca böyle bir erişime sahip olması gerekenler için mümkün olmalıdır. Bu nedenle, rol tabanlı erişim kontrolleri, çok faktörlü kimlik doğrulama ve en az ayrıcalık ilkesi her düzeyde uygulanmalı ve uygulanmalıdır. Kullanıcı ayrıcalıklarının düzenli olarak gözden geçirilmesi ve istenmeyen verilerin hizmetten çıkarılması da kabul edilebilir yönetişim yönergelerine uygun olarak yapılmalıdır.
- AI Risk Gözetimi: Yapay zeka azaltma, açıklanabilirlik, veri soyuna ve AI sistemleri üzerinde eğitilmiş modelleri sağlamak için yanlış kullanım potansiyeline odaklanarak AI yönetişim komitelerinin oluşturulması, kum havuzu ve denetlenebilir.
- Olay Yanıt Entegrasyonu: Veri Yönetişimi personeli de siber güvenlik müdahale ekiplerine yerleştirilmelidir. Bu, fidye yazılımlarını ve derin sahte saldırı senaryolarını simüle etmek için işbirliği sağlamak ve bir siber saldırı meydana gelirse ideal yanıt planlarına hazırlanmaktır.
- Üçüncü Taraf Veri Yönetişimi: Tedarik zinciri ve dış kaynaklı taraflar örgütsel üretkenliğin ayrılmaz bir parçası olduğundan, saldırganlar kuruluşlara nüfuz etmek için güvenlik açıklarını keşfederler. Bu nedenle, üçüncü tarafların güvenlik duruşu ve veri işleme politikaları, küresel yönetişime uygunluklarını doğrulamak ve ihlallere yanıt vermeye hazır olduklarını tespit etmek için sürekli olarak değerlendirilmelidir.
Teknolojideki ilerleme, güvenlik duvarları, uç nokta algılama sistemleri ve tehdit istihbarat platformları gibi siber güvenlik çözümlerinin evrimini etkilemiş olsa da; Sağlam veri yönetişiminin yerini almazlar. Bugünün teknoloji manzarasında, Patched bir sunucu uzlaşmayı davet edebilirken, dengesiz bir veri deposu stratejik, sürekli ve AI-optimize edilmiş sömürüyü davet edecektir.
Bu nedenle, kuruluşlar yeterli politikalar yoluyla uygun yönetişimin mevcut olmasını ve diğerlerinin yanı sıra NIS2 Direktifi, GDPR, ISO/IEC 27001 ve ISO/IEC 27701 standartları dahil olmak üzere düzenleyici gerekliliklerle uyumlu olmasını sağlamalıdır.
Sonuç olarak, AI’nın fidye yazılımı saldırılarına karşı savunmada rolü giderek daha fazla hayati önem taşıyor. Desenleri ve anormallikleri analiz etmekten öğrenilen bu tür saldırıları tespit etme ve önleme yeteneği yeri doldurulamaz. Fidye yazılımı saldırısının sadece teknik bir ihlalin bir sonucu değil, aynı zamanda bir yönetişim başarısızlığı olduğu sonucuna varmak da dikkat çekicidir.
