- Tehdit Başlıklarını Savunma Stratejilerine Dönüştürme
- AI ve Tehdit Emülasyonu: Güvenlik Açısından Ne Kadar Güvenli?
- Agentik Yaklaşım: Tehdit İstihbaratını Güvenli Bir Şekilde Eşleme
- FIN8 Saldırı Kampanyası Örneği
- Aşama 1: İstihbarat Toplama
- Aşama 2: Davranış Analizi
- Aşama 3: Güvenli Eşleme
- Aşama 4: Sıralama ve Doğrulama
- Gelecek: Bağlam Odaklı Güvenlik Yönetimi
Yazı: Sila Özeren Hacioglu, Güvenlik Araştırma Mühendisi, Picus Security.
Tehdit Başlıklarını Savunma Stratejilerine Dönüştürme
Güvenlik liderleri için en korkulan bildirim her zaman bir Sosyal İşlem Merkezinden (SOC) gelen alarm değildir; bazen bir yönetim kurulu üyesinden gelen bir haber makalesi bağlantısıdır. Genellikle başlık, FIN8 gibi bir tehdit grubunun yeni bir kampanyasını veya yeni ortaya çıkan büyük bir tedarik zinciri açığını detaylandırır. Bu bağlantının yanındaki soru kısa ama etkisi büyüktür: “Şu anda bu tehdide maruz muyuz?“.
AI ve Tehdit Emülasyonu: Güvenlik Açısından Ne Kadar Güvenli?
Öncelikle, güvenlik takımları bu soruya yanıt verirken bir zaman yarışı içindeydi. Tehditlere karşı hızlı bir yanıt oluşturmak için tedarikçi anlaşmalarına (SLA) bağlı kalmak zorunda kalan güvenlik kuruluşları, genellikle sekiz saat veya daha uzun beklemek zorunda kalıyordu. Her ne kadar bu yaklaşım doğru bir yanıt sağlasa da, sürecin uzunluğu belirsiz bir zaman dilimi yaratıyordu.
Yapay zeka destekli tehdit emülasyonu, analiz süresini hızlandırarak ve tehdit bilgisini genişleterek bu araştırma gecikmelerinin çoğunu ortadan kaldırdı. Ancak AI emülasyonu, sınırlı şeffaflık, manipülasyona duyarlılık ve “hayali” veriler gibi riskleri de taşıyor. Picus’un CTO’su Volkan Ertürk, “ham üretken AI’nın, tehditlerin kendisi kadar ciddi istismar riskleri yaratabileceğini” belirtti.
Agentik Yaklaşım: Tehdit İstihbaratını Güvenli Bir Şekilde Eşleme
Picus’un benimsediği agentik yaklaşım, AI’nın sadece bir kod üreticisi olarak değil, aynı zamanda güvenli bileşenlerin orkestratörü olarak kullanılmasını sağlıyor. Yapay zeka, tehlikeli kodlar üretmek yerine, bildiği güvenli tehdit kütüphanesini kullanarak tehditleri eşleştiriyor. Bu model, gerçek dünyadaki tehdit araştırmalarına dayanarak oluşturulmuş bir bilgiyi haritasını sunuyor.
Çoklu-Ajan Çerçevesi
Picus, tek bir chatbot yerine her biri özel bir işleve sahip birçok ajanın bulunduğu bir çerçeve kullanır:
- Planlayıcı Ajan: Genel iş akışını organize eder.
- Araştırmacı Ajan: Veri toplamak için webde dolaşır.
- Tehdit Oluşturucu Ajan: Saldırı zincirini oluşturur.
- Doğrulama Ajanı: Diğer ajanların çalışmalarını kontrol ederek hataları önler.
FIN8 Saldırı Kampanyası Örneği
Picus platformunun sistemin nasıl çalıştığını göstermek adına oluşturduğu bir örnek, FIN8 tehdit grubuna ilişkin bir isteği işlerken izlediği akışla başlar. Bu süreç, bir haber bağlantısının güvenli, doğru bir emülasyon profiline dönüşmesi için gerekli adımları içerir:
Aşama 1: İstihbarat Toplama
Kullanıcı, FIN8 kampanyası ile ilgili bir URL girdiğinde, Araştırmacı Ajan birincil kaynağın ötesine geçerek bağlantılı bilgileri toplar ve güvenilirliklerini doğrular.
Aşama 2: Davranış Analizi
İstihbarat toplandıktan sonra, sistem kampanya anlatımını teknik bileşenlerine ayırarak adversary’nin kullandığı özel TTP’leri belirler.
Aşama 3: Güvenli Eşleme
Tehdit Oluşturucu Ajan, belirlenen TTP’leri kullanarak Picus’un kütüphanesindeki güvenli simülasyon eylemleri ile eşleştirir. Bu aşama, sistemin güvenliğini sağlamak için kritik bir değerdir.
Aşama 4: Sıralama ve Doğrulama
Son olarak, ajanlar bu hareketleri bir saldırı zincirine sıralar ve doğrulama ajanı, hataların veya yanlış anlamaların olmadığından emin olmak için inceleme yapar. Sonuçta, test edilebilir bir simülasyon profili ortaya çıkar.
Gelecek: Bağlam Odaklı Güvenlik Yönetimi
Agentik yaklaşım, güvenlik doğrulama arayüzünü değiştirmeye devam ediyor. Picus, bu yetenekleri Numi AI adı verilen bir konuşma arayüzüne entegre ediyor. Kullanıcı deneyimi artık karmaşık panellerden çok daha basit, niyet odaklı etkileşimlere geçiyor.
Güvenlik mühendisleri, belirli tehditleri önlemek için yüksek düzeyde niyet ifade edebiliyor ve AI, ortamı izleyerek yalnızca bu amaçla ilgili değişikliklerde kullanıcıyı uyarıyor. Bu yaklaşım, organizasyonların gerçekten tehlikede olan açılara odaklanarak önceliklendirme yapmasını sağlıyor.
Hızla değişen tehdit ortamında, bir başlığı fidye kriptoğraflarının etkin bir savunma stratejisine dönüştürmek artık bir lüks değil, bir zorunluluktur.
Picus’un yaklaşımı, AI’nın en iyi şekilde kullanılmasının, onu kötü amaçlı yazılımlar yazmak yerine savunmayı organize etmek olduğunu gösteriyor.
