Siber tehditlerin artmasıyla siber güvenliğe verilen önem de artmaktadır. Dolayısıyla siber güvenlik çözümlerine yapılan harcamalar da orantılı olarak artış göstermektedir. Saldırıların her geçen gün çeşitlilik göstermesi siber güvenlik çözümünde kullanılan ürünlerin tehditlere karşı güncelliğinin önemini artırmaktadır. Bu çözüm ve teknolojiler için güncelliğin korunması insan eliyle sağlanamayacak kadar dinamiktir.
Siber güvenlik ürünlerinde kullanılan Yapay Zekâ (AI) çözümleri ise siber güvenlik olay müdahalesi gerektiğinde başvurulabilecek, saldırıların yayılmadan engellenmesi ve yeni tehditlere karşı alınacak hızlı aksiyonlar konusunda avantaj sağlayacak önemli bir yardımcı olacaktır. Diğer yandan, AI tekniklerinin suç amaçlı zararlı yazılım geliştirme faaliyetlerinde ve güvenlik açığı bulma aşamalarında kullanıldığının da unutulmaması gerekir.
Yapay zekânın alt dallarından biri olan makine öğrenmesi (ML) ile birlikte insan hayatı değişerek birçok endüstride yetenekler gelişmektedir. Özellikle, siber güvenlik bakış açısı ile yaklaşıldığında tarama, algılama ve anormal durum tespiti konusundaki gelişmeler güvenlik ürünlerinin yeteneklerini artırmaktadır.
Teknoloji ve bilişim şirketi IBM tarafından 2019 yılında yürütülen bir araştırmada, ortalama bir sızma eyleminin tespitinin 206 gün ve sızma eyleminin sonuçlarından kurtulmanın ise 73 gün sürdüğü ortaya çıkmıştır. Yeni nesil bir tehdit avı programı ile kabaca hesaplanan 7 aylık tespit süresinin gün bazına inmesi mümkündür.
Yeni nesil tehdit avı sistemleri ile kullanıcı kimlik bilgileri hırsızlığı, dosyasız kötücül yazılımlar gibi tespit edilmesi güç saldırı tiplerinin önlenmesi önemli bir faktördür. Bu çözümlerde makine öğrenmesi ve kullanıcı davranış analizi yöntemlerinin entegre edilmesi ile birlikte tespiti güç saldırılar bile tespit edilebilir.
Kullanıcı kimlik bilgileri hırsızlığı; parola, bankacılık bilgileri ve sosyal güvenlik numaraları gibi pek çok hassas verinin kötü amaçlı kişilerin eline geçmesi ve kötüye kullanılmasıdır. Yeni nesil tehdit avı çözümleri ile kurumlar bu tür saldırıları tespit edebilirler. Örneğin, finans departmanına bağlı bir çalışanın kimlik bilgileri kullanılarak veri tabanı kayıtları veya dosya sistemleri üzerinde yürütülen işlemler anında tespit edilebilir.
Dosyasız kötücül yazılım saldırıları ise; bir cihaza bulaşmak için hedefe yeni bir yazılım yüklemeden cihazdaki mevcut kurulu yazılımların kötü amaçlı kullanılması olarak özetlenebilir.
Hedef sisteme yeni bir dosya yüklemediği ve diskte bir değişiklik yapmadığından dosyasız olarak adlandırılır. İmza tabanlı tespit sistemleri nazarında güvenli olduğu bilinen uygulamalar üzerinden gerçekleştirilen dosyasız kötücül yazılım saldırılarının tespiti yeni nesil sistemler ile mümkündür. Bu saldırılara en güzel örnek, PowerShell gibi tamamen zararsız bir uygulama üzerinden gerçekleştirilen saldırı eylemleridir.
Bilinen PowerShell riskleri ve saldırı göstergeleri üzerinden gerçekleştirilecek saldırıların henüz amacına ulaşamadan tespiti yeni nesil sistemlerle mümkündür. Örnek vermek gerekirse, bir e-postanın eki olarak gönderilen bir Excel dosyasının içerisine gizlenmiş makrolar aracılığıyla görünürde güvenli olan uygulamalara zararlı işlemler yaptırabildiği senaryolar mevcuttur.
Ayrıcalıklı hesapların kötüye kullanımı siber güvenlik konusundaki kritik noktalardan biridir. Siber suçluların kritik verilere sınır olmaksızın erişmesi için ilk hedefleri ayrıcalıklı hesapları ele geçirerek bunları kötü bir amaç için kullanmaktır.
Yapay zekâ ve makine öğrenmesi ile güçlendirilmiş kullanıcı davranışı analizi çözümleri ile normal kullanıcıların yetkileri yükseltilerek yapılan saldırıların tespiti mümkündür. Kullanıcı yetkileri yükseltme tekniği, siber saldırganların eylemlerini gizlice yürütmek için sıklıkla izledikleri bir yoldur. Kullanıcı işlemlerini büyük resimde bir anlama oturtabilmek için yapılan eylemin gerçek niyetinin anlaşılarak amacına ulaşmadan önlenmesinde oldukça önemlidir.
Sonuç olarak, yapay zekâ ile beslenmiş bir siber güvenlik çözümü ile olası zararlı kullanıcı aktiviteleri, tespiti zor olan saldırıların tespiti ve bunların önlenmesi standart çözümlerden daha etkili olacaktır. Örneğin, kurum içi siber tehdit tespit programı kullanımı özellikle üst seviye yöneticilerin hesapları gibi, ele geçirildiği takdirde ciddi sonuçlara yol açabilecek, hesapların güvenliğini sağlamada elzem olduğundan bu hesapların ele geçirildiğinin aylar yerine saatler mertebesinde anlaşılmasının yaratabileceği farklar ilgili kurumun bekası için önem taşır.
Kaynak: HAVELSAN Dergi 7. sayı / Siber Güvenlik Mühendisi Ceren Akdoğan
