Abnormal Security tarafından sunulmaktadır
İş dünyası liderleri ve analizcilerin, yapay zekanın şişirilmiş hype döngüsünde nerede olduğunu tartıştığı sırada, siber suçlular etkileyici yapay zeka destekli saldırılar düzenliyor. Özellikle yapay zeka ile üretilen sosyal mühendislik saldırıları — phishing ve iş e-postası dolandırıcılığı gibi — hızla artış gösteriyor. ChatGPT gibi açık kaynaklı araçlar (ve bunların kötü niyetli versiyonları olan GhostGPT, FraudGPT ve WormGPT) teknoloji bilgisi olmayan dolandırıcılara saldırılar oluşturmak için yeni bir alan sunuyor. Bu saldırganlar, büyük ölçekli, son derece inandırıcı e-posta saldırıları düzenleyerek, her seviyedeki kuruluş çalışanlarını hedef alıyor.
Evan Reiser, Abnormal Security CEO’su, “İnsanlar, organizasyonun en savunmasız ve en değerli noktalarıdır” diyor. “Geleneksel güvenlik, altyapıyı korumaya odaklanıyor, ancak insanlar birbirleriyle özellikle hassas bilgiler paylaşırken etkileşimde bulundukça, bu insanlar saldırganların istismar etmeye çalışabileceği savunmasız noktalardır. Ve artık bunları yapay zeka araçları ile yapmak çok daha kolay.”
Yapay Zeka Destekli Sosyal Mühendislik Saldırıları
Bugün, siber suçların en yüksek oranı e-posta kanallarını hedef alıyor — phishing, veri ihlallerinin bir numaralı sebebi ve sosyal mühendislik ise mali kayıpların başlıca nedeni olarak öne çıkıyor, diyor Reiser.
“Eğer bir sosyal mühendis veya dolandırıcı olmak istiyorsanız, yapay zeka, başınıza gelebilecek en iyi araçtır,” diye ekliyor. “ChatGPT, işlerin nasıl yürüdüğünü anladığı için mükemmel mesajlar yazabiliyor; örneğin muhasebe dilini çok doğru bir şekilde tahmin edip, her bir hedefe kişiselleştirilmiş iletişim sağlayabiliyor.”
Artık saldırılar, birkaç saat süren el yapımı çalışmalar yerine birkaç saniyede oluşturulabiliyor. Yapay zeka destekli bu sosyal mühendislik saldırılarının zenginliği ve karmaşıklığı, internet üzerindeki mevcut insan bilgisiyle eğitilen büyük dil modelleri sayesinde giderek artıyor.
İnsan Savunmasızlığını Güvenlik Stratejisinin Odak Noktası Yapmak
Günümüzde en çok bilinen yapay zeka araçları, metin üreten LLM’lere dayanıyor, bu nedenle sahte e-postaların ve metin mesajlarının hızla yükselmesi şaşırtıcı değil. Ancak derin sahte medya üretiminin başka biçimleri de gündemde; takvimlerimize yakın bir gelecekte, yapay zeka destekli sanal avatarlar güvenilir yöneticiler gibi Zoom toplantılarına katılabilecek.
Video yapımı, giderek daha gerçekçi hale geliyor ve belirli bir noktaya ulaştığında, insan izleyicilerin bunu ayırt etmesi zorlaşacak. Tüm bu gelişmeler, yeni riskler getirebilirken, teknolojinin kötü niyetli aktörler tarafından istismar edileceği gerçeğini de unutmamak gerekir.
Davranışsal Anomalilerin Ölçekli Tespiti
Derin sahte teknolojisi henüz gelişim aşamasında; şu an birçok kişi fiziksel ipuçları ile gerçek bir insanı derin sahte bir kişiden ayırt edebiliyor. Ancak derin sahtecilikler daha karmaşık hale geldikçe, bu farklılıkları tespit etmek zorlaşacak. Bu, savunma stratejilerimizin davranışsal farklılıkları gözlemlemeye yönelmesini gerektiriyor.
Reiser’ın belirttiği gibi, bir e-posta, bilinen bir tehlike göstergesi içeriyorsa — kötü bir IP adresi ya da zararlı bir ek gibi — eski teknoloji araçları tarafından otomatik olarak tespit edilip filtrelenebiliyor. Ancak yapay zeka destekli kötü niyetli ataklar, belirgin tehlike göstergelerini atlayarak hedefe ulaşabiliyor.
Bu durum, her tanıdık kişi için oluşturulmuş davranışsal bir temel ile eşleştirilen davranışsal sinyalleri okuyabilen yeni bir tür çözüm gerektiriyor. İyi yapay zekanın burada güçlü bir rol oynaması, isabetli davranış anomali tespitini sağlayarak saldırıların hedef ulaştığı konuma ulaşmadan durdurulmasına yardımcı oluyor.
Yapay zeka destekli bu yeni araçlar, çalışanlarınızın risklerini azaltırken, aynı zamanda insanlara atfedilen birçok sıkıcı işlemi üstlenerek güvenlik ekiplerinin zamanını önemli ölçüde özgürleştiriyor. Reiser, “Gelişmiş siber saldırılar giderek artarken, bu iş anlamında milyonlarca güvenlik işinin doldurulmadığını unutmamalıyız,” diyor. “Teknolojinin bu açığı kapatması ve güvenli bir dünya için ileriye doğru bir adım atmamıza yardımcı olması gerekiyor.”
Bu makale, bir şirketin ya da iş ilişkisi bulunan bir kuruluşun ödemesi karşılığında üretilmiştir ve her zaman açıkça belirtilmektedir.