Gündelik ve haftalık bültenlerimize katılın, en son güncellemeleri ve sektördeki lider AI hakkında özel içerikleri edinin. Daha Fazla Bilgi
Bir saldırganın, çalınmış kimlik bilgileri ile ağ içinde gizlice hareket etmesi ve sistemlere girmesi sadece 51 saniye sürmektedir. Bu durum, kurumsal güvenlik için oldukça büyük bir tehdit oluşturmaktadır.
CrowdStrike’ın üst düzey yöneticisi Adam Meyers, VentureBeat ile yaptığı bir röportajda, saldırganların bir sisteme girdikten sonra nasıl hızlı bir şekilde yetki yükselttiklerini ve yan hareketler yaptıklarını açıklıyor. “Bunu breakout time (çıkış süresi) olarak hesaplıyoruz. Yani, başlangıçta erişim sağlandıktan sonra başka bir sisteme geçmek ne kadar sürüyor? Gözlemlediğimiz en hızlı çıkış süresi 51 saniye. Bu saldırganların daha da hızlı hareket ettiğini gösteriyor ve bu durum savunucuların işini zorlaştırıyor.” dedi.
AI’nın İnsafsız Saldırılarındaki Rolü
Günümüzde saldırganlar için AI, en önemli silah haline gelmiştir. Uygun maliyeti, hızı ve çok yönlülüğü sayesinde saldırganlar, vishing (sesle dolandırıcılık) ve deepfake kampanyaları oluşturup sosyal mühendislik saldırılarını daha önceki teknolojilere oranla daha kısa sürede düzenleyebilmektedirler.
Vishing, istismar edilmeye müsait biri olarak karşımıza çıkar. CrowdStrike’ın 2025 Küresel Tehdit Raporu, 2024 yılında vishingin %442 oranında arttığını ortaya koymuştur. Bu sıklıkla, saldırganların kurbanlarını hassas bilgileri açığa çıkarmaya, kimlik bilgilerini sıfırlamaya ve uzaktan erişim sağlamaya manipüle ettiği en yaygın ilk erişim yöntemidir.
Kurumların Karşı Stratejileri
Saldırganların AI kullanımıyla nasıl başarı sağladıkları, kimlik tabanlı saldırılarda kendini gösteriyor. 2024 yılında gerçekleştirilen saldırıların %79’u zararlı yazılım içermeden, çalınmış kimlik bilgileri ve AI destekli phishing ile gerçekleşmiştir. Bulut sistemleri üzerinde yapılan bir intrüzyonda, geçen yılın verilerine göre 35 saldırıdan 1’inde geçerli kimlik bilgileri kullanılmıştır.
National Oilwell Varco (NOV) CIO’su Alex Philips, bir röportajında “Geleneksel kimlik oturum token’lerinin kaynak tarafında iptal edilmesinde bir boşluk bulduk. Şimdi, hızla erişimi iptal etmemiz gereken genel kaynaklar için bir çözüm geliştiren bir girişim ile çalışıyoruz. Sadece bir parolayı sıfırlamak ya da hesabı devre dışı bırakmak yeterli değil. Oturum token’lerini iptal etmek gerekiyor.” dedi.
Açık ve Kesin Stratejiler
Hızlı bir şekilde gerçekleşen 51 saniyelik çıkışlar, kuruluşların kimlik ve erişim yönetimi (IAM) güvenliğinde ciddi bir zayıflığı işaret etmektedir. Bu zayıflığın temelinde ise güvenin yeterli olduğunu varsaymak yatmaktadır; oysaki her bir kimliği, oturumu ve kaynak taleplerini doğrulamak çok daha kritik bir öneme sahiptir.
Philips’in hızlı saldırıları durdurma konusundaki önerileri ve CrowdStrike’ın bu konudaki araştırmaları, bu saldırıların yeni normlar haline geldiğini göstermektedir:
- Saldırıları ilk olarak kimlik doğrulama katmanında kesmek, çalınmış kimlik bilgileri ve oturum token’lerini işe yaramaz hale getirmek adına atılacak en önemli adım olmalıdır. Bu, token sürelerini kısaltmayı ve gerçek zamanlı iptal süreçlerini başlatmayı içermektedir.
- AI destekli tehdit tespiti kullanmak, saldırıları gerçek zamanlı olarak tespit etme açısından önemlidir. AI ve makine öğrenimi, büyük veri setleri içindeki anormallikleri tespit etme konusunda etkilidir.
- Uç nokta, bulut ve kimlik güvenliğini birleştirmek, çapraz hareketleri durdurmak adına gereklidir. Temel hedef, ihlalleri segment sınırları içinde tutarak, kurumsal sistemlerin ve altyapının güvenliğini sağlamaktır.
