Tehdit aktörleri, denenmiş ve test edilmiş TTP’leri güçlendirmek için yapay zekâ kullanıyor. Saldırılar bu kadar hızlı ilerlediğinde siber savunmacıların kendi stratejilerini yeniden düşünmeleri gerekiyor.
Saldırganlar ve savunmacılar arasındaki bitmeyen silahlanma yarışında ilginç bir noktada bulunuyoruz. Saldırganlar, yapay zekâ, otomasyon ve çeşitli teknikleri kullanarak bazen yıkıcı sonuçlar yaratıyor. Aslında bir rapora göre, hizmet olarak fidye yazılımı (RaaS) gruplarının %80’i artık yapay zekâ veya otomasyon özellikleri sunuyor ve elbette, güvenlik araçlarını atlatmak için özel olarak tasarlanmış araçların bulunduğu gelişen bir pazar da var. Sonuç olarak, veri ihlalleri ve bunlarla ilişkili maliyetler hızla artmıştır.
Ancak diğer yandan, tehdit aktörleri daha önce yaptıklarını yapmaya devam ediyor; saldırıları hızlandırmak için mevcut taktik, teknik ve prosedürleri (TTP’ler) güçlendiriyorlar. Örneğin, ilk erişim ile yanal hareket (kaçış süresi) arasındaki süre artık dakikalarla ölçülüyor. Bu yüzden saatler veya günler boyunca çalışmaya alışkın savunmacılar için de işlerin değişmesi gerekiyor.
Yarım saatlik uyarı
Kaçış süresi önemlidir çünkü ağ savunucuları bu noktada rakiplerini durduramazlarsa ilk saldırı çok hızlı bir şekilde büyük bir olaya dönüşebilir. Yanal kaçış için geçen ortalama süre şu anda yaklaşık 30 dakikadır (bir yıl öncesine göre yaklaşık %29 daha hızlıdır). Ancak bazı gözlemciler, ilk erişimden sonra bir dakikadan daha kısa sürede gerçekleştiğini görmüştür.
Harekete geçme süresinin hızla daralmasının birkaç nedeni vardır. Tehdit aktörleri:
- Çalışanlarınızın meşru kimlik bilgilerini çalma/kırma/oltalama konusunda giderek daha iyi hâle geliyorlar. Zayıf, tekrar kullanılan ve nadiren değiştirilen parolalar bu konuda onlara yardımcı oluyor (yani, kaba kuvvet saldırılarını kolaylaştırıyor). Çok faktörlü kimlik doğrulama (MFA) eksikliği de öyle. Ayrıca yardım masasını veya çalışanları taklit ederek yardım masasını arayarak parola sıfırlama vishing saldırılarında da daha başarılı hâle geliyorlar. Meşru oturum açma bilgileriyle herhangi bir dâhili alarmı tetiklemeden kullanıcı kılığına girebilirler.
- Şirket içi güvenlik araçlarından gizli kalarak ağlarda yer edinmek için Ivanti EPMM gibi uç cihazları hedef alan sıfırıncı gün istismarlarını kullanıyorlar.
- Keşif konusunda daha da ustalaşıyorlar; açık kaynak teknikleri ve yapay zekâ kullanarak, yüksek değerli hedefler hakkında kamuya açık bilgileri (ayrıcalıklı kimlik bilgileriyle) bulmak için web’i tarıyorlar. Saldırıları kolaylaştırmak ve sosyal mühendislik senaryoları tasarlamak için organizasyon yapısı, iç süreçler ve BT ortamı hakkında bilgi topluyorlar.
- Kimlik bilgilerini toplamak, mevcut kaynakları kullanmak ve hatta kötü amaçlı yazılım oluşturmak için yapay zekâ destekli komut dosyaları kullanarak istismar sonrası faaliyetleri otomatikleştiriyorlar.
- Silo hâline gelmiş ekipler ve nokta çözümler arasındaki boşluklardan yararlanıyorlar. Sonuç olarak, birincisi için meşru görünen bir faaliyet, ikincisi için olağan dışı görünebilir ancak bütünsel bir görünürlük olmadan, uç durumlar araştırılmayabilir. Bazı durumlarda, tehdit aktörleri EDR’ı devre dışı bırakmak veya atlatmak için kasıtlı adımlar atarlar.
- Gizlenmek için “living-off-the-land” (LOTL) tekniklerini kullanmak. Bu, geçerli kimlik bilgilerini, meşru uzaktan erişim araçlarını ve SMB ve RDP gibi protokolleri kullanmak anlamına gelir; böylece normal faaliyetlerin arasına karışırlar.
Bu aşamada tehdit aktörlerini yakalamak hayati önem taşıyor – özellikle de veri sızdırma (başladığında) yapay zekâ tarafından hızlandırıldığı için. Geçen yıl kaydedilen en hızlı vaka sadece altı dakikaydı; bu süre 2024’teki 4 saat 29 dakikadan düşmüştü.
Yapay zekâ ateşiyle ateşe karşı koymak
Saldırganlar, yüksek ayrıcalıklarla ağınıza erişebiliyor veya gözlemlenmeyen uç noktalarda gizli kalabiliyor ve ardından herhangi bir alarmı tetiklemeden yatay olarak hareket edebiliyorsa insan gücüyle verilen yanıt genellikle çok yavaş olacaktır. Sosyal mühendisliği sınırlamanız, şüpheli davranışların algılanmasını iyileştirmek için savunma duruşunuzu güncellemeniz ve yanıt sürelerini hızlandırmanız gerekir.
Yapay zekâ destekli genişletilmiş tespit ve müdahale (XDR) ile yönetilen tespit ve müdahale (MDR), şüpheli davranışları otomatik olarak işaretleyerek, bağlamsal verileri kullanarak uyarı doğruluğunu artırarak ve gerektiğinde düzeltme yaparak bu konuda yardımcı olabilir. Gelişmiş çözümler, uyarıları kümeleyerek ve aşırı yüklenmiş SOC ekipleri için otomatik yanıtlar oluşturarak da yardımcı olabilir; böylece ekipler, tehdit avcılığı gibi yüksek değerli görevlere zaman ayırabilir.
Uç noktalar, ağlar, bulut ve diğer katmanlar hakkında içgörüye sahip tek ve birleşik bir sağlayıcı, potansiyel saldırı yollarının tam görünürlüğü için nokta çözümler arasında var olan boşlukları da ortaya çıkarabilir. Bu tür araçların uç cihazları da görebildiğinden ve güvenlik bilgisi ve olay yönetimi (SIEM) ile güvenlik orkestrasyonu ve yanıtı (SOAR) araçlarınızla sorunsuz bir şekilde çalıştığından emin olun.
Tehdit istihbaratı ve tehdit avcılığı da yapay zekâ destekli saldırganlarla başa çıkmak için hayati önem taşır. Her ikisini de kullanan bir yaklaşım, ekiplerin önemli olan konulara odaklanmasına yardımcı olur: Saldırganların onları nasıl hedef aldığı ve bir sonraki adımda nereye yönelebileceği. Yapay zekâ ajanları zamanla bu görevlerin daha fazlasını otonom olarak üstlenerek yanıt sürelerini daha da hızlandırabilir.
İnisiyatifi geri kazanın
Müdahale sürelerini hızlandırmanın başka yolları da vardır. Bunlar arasında şunlar yer alır:
- Uç noktalar, ağ ve bulut ortamlarında sürekli izleme ve farkındalık,
- Şüpheli etkinlikleri ele almak için atılması gereken oturum sonlandırma, parola sıfırlama veya ana bilgisayar izolasyonu gibi otomatik adımlar ve uygun durumlarda, uyarıları araştırmak ve bir tehdidi hızlı bir şekilde kontrol altına almak için gerekli adımları belirlemek üzere insan değerlendirmesi ile birleştirilmiş otomatik analiz,
- Sıkı erişim kontrolleri sağlamak ve saldırıların etki alanını en aza indirmek için en az ayrıcalıklı erişim politikaları, mikro segmentasyon ve Zero Trust’ın diğer özellikleri,
- Parola yöneticisinde yönetilen ve kimlik avına dayanıklı MFA ile desteklenen güçlü, benzersiz kimlik bilgilerine dayalı gelişmiş kimlik odaklı güvenlik,
- Güncellenmiş yardım masası süreçleri (ör. bant dışı geri aramalar) ve etkili farkındalık eğitimi dâhil olmak üzere vishing önleme adımları,
- Giriş sırasında otomatik parola tahmin saldırılarını engelleyen kaba kuvvet koruması,
- Silah olarak kullanılabilecek, ifşa olmuş çalışan ve şirket bilgilerini tespit etmek için sosyal medya ve dark web’in sürekli izlenmesi,
- LOTL davranışını tespit etmek ve engellemek için bellekte “ortaya çıkan” komut dosyaları ve süreçlerin izlenmesi,
- Sıfırıncı gün istismar tehditlerini azaltmak için şüpheli dosyaların bulut sanal ortamında çalıştırılması.
Yapay zekâ desteği
Bu adımların hiçbiri tek başına sihirli bir çözüm değildir. Ancak saygın bir tedarikçinin sunduğu yapay zekâ destekli MDR/XDR ile birleştirildiğinde, ağ savunucularının inisiyatifi yeniden ele almalarına yardımcı olabilirler. Bu bir silahlanma yarışı olabilir ancak temelde sonu görünmeyen bir yarış. Bu da yetişmek için zaman olduğu anlamına gelir.
MDR ile KOBİ’ler nasıl savunma avantajı oluşturuyor?
