RSA KONFERANSI 2024 – San Francisco – 2024’e yalnızca beş ay kaldı ve bu yıl siber güvenlik uygulayıcıları için yoğun bir yıl oldu. çok yıllı tedarik zinciri saldırılarıulus-devlet aktörlerinin istismar ettiği ağ geçitlerinde birden fazla güvenlik açığı ve uç cihazlar ve birden fazla fidye yazılımı olayı aykırı büyük sağlık kuruluşları. Yılın geri kalanında neler olacak?
Geçen haftaki RSA Konferansında SANS Teknoloji Enstitüsü başkanı Ed Skoudis, SANS Enstitüsü eğitmenleri ve akademisyenlerinden oluşan yıllık panel Yılın geri kalan aylarında siber savunucuların akıllarında kalması gereken konulara değinmek.
Skoudis katılımcılara şunları söyledi: “Bu, yılın en sevdiğim paneli çünkü gerçek uzmanlardan vahşi doğada neler olup bittiği ve organizasyonlarımızı daha emniyetli ve emniyetli hale getirmek için bu konuda neler yapabileceğimiz hakkında bilgi alıyoruz.”
Yapay zekanın (AI), panel tarafından belirlenen neredeyse tüm tehditler için yinelenen bir tema olması şaşırtıcı değil. İşte SANS uzmanları tarafından işaretlenen ve işletmelerin 2024’ün geri kalan aylarında endişelenmesi gereken en önemli 5 tehdit.
Teknik Borcun Güvenlik Etkisi
Teknik borcun geride bıraktığı güvenlik çatlakları, acil ve yeni bir tehdit gibi görünmeyebilir, ancak SANS Teknoloji Enstitüsü araştırma dekanı Dr. Johannes Ullrich’e göre kurumsal yazılım yığını, art arda gelen sorunlar için bir dönüm noktasında. Dahası, “Yalnızca kurumsal uygulamalarımızı değil aynı zamanda güvenlik yığınımızı da giderek daha fazla etkiliyor” dedi.
Teknik borç, yazılım mühendisliği veya sistem tasarımında, asgari düzeyde uygulanabilir bir ürünü bugün çalışır duruma getirmek uğruna yarım bırakılan veya ‘yarına’ ertelenen iş birikimidir. Borç, hız veya maliyet nedenleriyle optimize etmek amacıyla kasıtlı olarak tahakkuk ettirilebilir veya olgunlaşmamış yazılım mühendisliği uygulamaları nedeniyle kasıtsız olarak birikebilir. Her iki durumda da borç büyüdükçe tonlarca siber güvenlik riski ortaya çıkıyor.
Ullrich’e göre artan teknik borç tahakkukları, yazılım tedarik zincirinin artan karmaşıklığıyla birleşerek bu tehdit vektörünün profilini artırıyor.
“Ben bir geliştirici olarak bile ‘Hey, bu yeni kitaplığın aslında hiçbir yeni özelliği yok ve herhangi bir güvenlik açığını gidermiyor, bu yüzden bu güncellemeyi uygulamayacağım’ demek çok kolay” diyor. “Sorun şu ki, bundan beş yıl sonra, 10 ila 15 farklı artımlı güncellemeyi atladıktan sonra, büyük güvenlik açığı o kütüphaneyi vuruyor ve şimdi yıllar içinde biriken tüm bu küçük tuhaflıklar üzerinde çalışmanız gerekiyor, böylece düzeltebilirsiniz. BT.”
Yapay Zeka Çağında Sentetik Kimlik
Yeni kimlik bilgilerinin başlangıcında ve kimlik doğrulama için kimliğin kanıtlanması, güvenlik endüstrisi için onlarca yıldır süren bir mücadele olmuştur. Ullrich, bu mücadelenin yapay zeka çağında daha da güçlenerek devam edeceğini açıkladı.
Ullrich, insanları taklit etmek için sahte videolar ve sahte seslerin kullanıldığını ve bunların son on yılda güç kazanan biyometrik kimlik doğrulama yöntemlerinin çoğunu boşa çıkaracağını söyledi. “Günümüzde oyunun kurallarını değiştiren şey bu taklitlerin kalitesi değil, oyunun kurallarını değiştiren şey maliyettir. Bunu yapmak ucuz hale geldi, oysa geçmişte oldukça pahalıydı. Şimdi bu sahteleri yaratmak için onbinlerce dolar yerine birkaç dolar gerekiyor. “dedi.
Yapay zeka tarafından oluşturulan sentetik medya, güvenlik tedarikçilerinin kayıt ve kimlik doğrulamanın yanı sıra oturum açma sırasındaki anlaşmazlıkları azaltmaya yardımcı olmak için yaptığı birçok yeniliği alt üst ediyor. Örneğin, onlyfakes.com adlı bir web sitesi yalnızca sahte kimlikler oluşturmakla kalmaz, aynı zamanda kimliğinizi doğrulamak için ehliyetinizin veya diğer benzer kimliklerinizin fotoğrafına benzeyen resimler de oluşturur.
Ullrich, “Birinin bu fotoğrafı evinde çekmiş gibi görünen bir halı veya tahta parçası gibi bir arka planı var” diye açıkladı. “Ve bu zaten bazı mali yardımlarla çevrimiçi yerleşik kimliği taklit etmek için kullanıldı.”
Kendisi, bu durumun yakın vadede güvenlik uygulayıcıları ve satıcıları üzerinde sektörün riske dayalı kimlik doğrulamasını nasıl yaptığını yeniden düşünmeye devam etmeleri konusunda baskı oluşturacağı konusunda uyarıyor.
Seks şantajı
SANS öğretim üyesi ve Kıdemli Direktörü Heather Mahalik Barnhart, üçüncü büyük tehdidin, SANS’in genellikle ele aldığı diğer kurumsal odaklı sorunlara kıyasla biraz şok edici olduğunu ancak sektörün dikkatini gerektiren ciddi bir tehdit olduğunu söyledi. Cellebrite için topluluk katılımı.
“Her yıl buraya geliyorum ve beyninizi farklı bir şekilde mahvetmeye çalışıyorum ve muhtemelen bu konunun yapacağı şey de bu çünkü bu, kimsenin varlığını kabul etmek istemediği keskin bir tehdit” diye açıkladı. “Bu bir seks şantajı, çılgına dönüyor ve giderek kontrolden çıkıyor.”
Barnhart’a göre suçlular, internet sakinlerini cinsel resim veya videolarla giderek daha fazla şantaj yapıyor ve mağdurun kendilerinden istediklerini yapmaması halinde onları serbest bırakacakları tehdidinde bulunuyor. Yapay zeka tarafından oluşturulan son derece ikna edici görsellerin çağında, bu resimlerin veya videoların zarar vermesi için gerçek olmasına bile gerek yok.
“Gerçek şu ki bu siz olabilirsiniz. Bu ben olabilirim, çocuklarınız olabilir, iş arkadaşlarınızdan biri olabilir” diyor ve özellikle 10 ila 14 yaş arası erkek çocuklar arasında cinsel istismarın genç intiharlarıyla giderek daha fazla bağlantılı olduğunu açıklıyor.
Ve bu sadece kişisel bir tehdit değil. Bu aynı zamanda kuruluş için de varoluşsal bir risk oluşturabilir.
“Şimdi şunu düşünün. Eğer bu iş arkadaşlarınızdan biriyse, bu kuruluşunuz için ne anlama geliyor? Yapay zeka olsun ya da olmasın bir görüntü ortaya çıkarsa ve onlar şunu söylerse, bunu LinkedIn’e koyacağım, bu Şirketinizin web sitesine girdiğinizde, bana X’i sağlamadığınız sürece YouTube’da büyük yankı uyandıracak” diyor. “İnsanlar, Xve bu korkutucu bir şey.”
Bu X para olabilir ya da şirkete erişim sağlama konusunda işbirliği olabilir. Mesele şu ki, ne kadar müstehcen ve kişisel görünse de, seks şantajı kurumsal bağlamla çok alakalı. Barnhart, giderek büyüyen bu tehdide karşı kolay bir yanıtın olmadığını ancak mücadelede ilk adımların kesinlikle farkındalık ve eğitime dayanması gerektiğini söylüyor.
“Neden gasp konusunda eğitim vermiyoruz? Doğası gereği cinsel olmak zorunda değil, genel olarak şantaj” diyor ve işletmelerin kimlik avı önleme eğitimine tonlarca para harcadığı gibi, aynı zamanda bunu da dikkate almaları gerektiğini açıklıyor. şantaj karşıtı eğitime yatırım yapmak.
GenAI Seçim Tehditleri
2024’ün arka yarısına doğru ilerlerken, ABD seçimleri çevrimiçi topluluklarda, sosyal medya paylaşımlarında ve haber yayınlarında giderek daha fazla dikkat çekecek. SANS eğitmeni ve AWS güvenlik mühendisi Terrence Williams, manşetlere ve yorum başlıklarına hakim olurken, sahte medya manipülasyonu ve GenAI tarafından oluşturulan diğer seçim tehditlerinin tüm büyük platformlarda her zaman mevcut olacağı konusunda uyarıyor.
Williams alaycı bir şekilde şaka yaptı: “Bize GenAI nimetini artı bir seçim sunduğu için 2024’e teşekkür edebilirsiniz.” “Bu tür şeylerle ne kadar iyi başa çıktığımızı biliyorsun, bu yüzden şu anda neyle karşı karşıya olduğumuzu anlamamız gerekiyor.”
Williams, derin sahte medya tehdidinin artık geleceğe yönelik bir tehdit olmadığı, burada ve şimdide olan bir tehdit olduğu konusunda uyardı. GenAI artık özel kampanya öğeleri oluşturmak ve meşru nedenlerle otomatik otomatik çağrı kampanyalarına güç vermek için kullanılabilir, ancak aynı zamanda sadece seçmenleri yanıltmak için değil aynı zamanda onları tuhaf uydurmalarla beslemek için de kullanılabilir. Ve bu, seçim sürecine olan zaten zayıf olan güveni daha da zedelemeye devam edecek. Bunun cevabı güvenlik araştırmacıları, akademi, teknoloji oyuncuları ve siyasi paydaşlar arasındaki işbirliğinde olacaktır.
“Şu anda akademik çevremiz bir görüntünün veya videonun yapay zeka tarafından üretilip üretilmediğini tespit eden bir şeyi nasıl geliştirebileceklerini görmek için araştırma yapıyor” dedi. Umarım bu, yeni çözümlerini piyasaya sürdüklerinde vatandaşlar olarak güvenebileceğimiz bir tür güvenlik ağının olmasını sağlamak için inovasyon yapan teknoloji şirketleri için zamanında mevcut olacaktır.”
Ortalama seçmenlerin “güven ama doğrula” çağında olduğumuzu anlamalarını sağlamanın kamu ve özel çıkarlara bağlı olduğunu, yani insanların kaynaklar ve kullandıkları gerçekleri kontrol etme konusunda titiz olmaları gerektiğini söylüyor. Aynı zamanda yenilikçilerin ve politikacıların da teknolojiye ve bilgiyi yayan süreçlere güvenlik önlemleri alma konusunda sorumlu tutulması gerektiğini söyledi.
Tehdit Çarpanı Olarak Saldırgan Yapay Zeka
Son olarak, beşinci en büyük tehdit, SANS üyesi ve uzun süredir saldırı güvenliği araştırmacısı olan Stephen Sims tarafından ortaya çıkarılan, mevcut siber tehditlerin bir çarpanı olarak saldırgan yapay zekaydı. Saldırgan yapay zeka, tehditleri daha hızlı tanımlamak ve açıklardan yararlanma ve saldırı kampanyalarının oluşturulmasını otomatikleştirmek için kötü adamlar tarafından yapay zeka ve otomasyonun kullanılmasıdır. GenAI daha karmaşık hale geldikçe, en teknik olmayan siber saldırganların bile parmaklarının ucunda, kötü amaçlı kampanyaları hızlı bir şekilde başlatıp yürütmek için artık daha esnek bir araç cephaneliği var.
Sims, “Artık zayıf noktaları keşfetme ve bunları silah haline getirme hızımız son derece hızlı ve giderek de artıyor” dedi.
Saldırgan güvenlik araştırmasının, GenAI’nin yama ‘farkını’ otomatikleştirmeyi veya yamalarla ilgili ikili dosya sürümleri arasındaki değişiklikleri belirlemeyi son derece basit hale getirdiğini gösterdiğini ve bu sayede tam olarak bir güvenlik düzeltmesinin yapıldığı yerde tersine mühendislik yapılmasını mümkün kılacağını söyledi. henüz yama yapılmamış sistemlerde bunu kullanın. Sims, benzer şekilde, GenAI’nin bu yamaların silah haline getirilmesini hızlandırabileceğini ve otomasyon araçlarıyla birleştirildiğinde “normalde manuel olarak yapmamız çok uzun sürecek teknik işlerin” tamamını yapmanın kolay olduğunu söyledi.
“Yani eğer bir defans oyuncusuysanız, büyük çıkarım şu: (düşünmeniz gerekiyor) karşı karşıya olduğumuz hıza, otomasyona ve zekaya karşı nasıl savunma yapabileceğinizi Gittikçe daha iyi olacağız” dedi ve “Savunma tarafında da aynı tarz otomasyonu yapabiliriz” dedi.
