1 Dolarlık Siber Saldırılar Artıyor: AI ile Savunma Güçlendirilebilir mi?

Yeni keşfedilen bir yazılım açığını saldırıya dönüştürmek eskiden aylar alırken, artık yapay zeka bu süreci birkaç dakikaya indiriyor. Hatta bulut bilişim hizmetleri için harcanan maliyet, bazen sadece 1 dolar gibi sembolik bir düzeye kadar düşebiliyor.

Bu gelişme, büyük dil modellerinin (LLM) siber tehditler oluşturma kapasitesini artırırken, aynı zamanda savunma sistemlerini güçlendirme fırsatı da sunuyor. Anthropic’in Claude Mythos adlı önizleme modeli, savunma ekiplerinin sıfırıncı gün açıklarını (henüz yaması yayınlanmamış güvenlik açıkları) proaktif olarak tespit etmelerine yardımcı oluyor. Şirketin açıklamasına göre, model bugüne kadar binlerce yeni güvenlik açığı keşfetti; bunların arasında tüm büyük işletim sistemleri ve web tarayıcılarındaki zafiyetler de bulunuyor. Anthropic, tespit edilen açıkların koordineli bir şekilde açıklanması ve yamalanması için çalışmalar yürütüyor.

AI destekli hata bulma sürecinin, saldırganlar mı yoksa savunmacılar mı için daha avantajlı olacağı henüz net değil. Ancak savunma sistemlerinin nasıl güçlendirilebileceğini anlamak için, geçmişte otomatik zafiyet keşfi alanında yaşanan gelişmelere bakmak faydalı olabilir.

Fuzzing Dönemi: Otomatik Saldırılardan Savunma Stratejilerine

2010’ların başında, yazılımlara milyonlarca rastgele ve bozuk girdi göndererek zafiyetleri ortaya çıkaran bir kategori yazılım ortaya çıktı. Bu araçlara, “fuzzer” adı veriliyor ve bunlardan biri olan American Fuzzy Lop (AFL), piyasaya çıktığında tüm büyük tarayıcı ve işletim sistemlerinde kritik açıklar buldu.

Siber güvenlik topluluğunun bu duruma verdiği yanıt oldukça öğreticiydi. Panik yerine, savunma sistemleri endüstrileştirildi. Örneğin, Google OSS-Fuzz adlı bir sistem geliştirdi. Bu sistem, binlerce açık kaynaklı yazılım projesinde sürekli olarak fuzzing testleri gerçekleştiriyor. Böylece yazılım sağlayıcıları, açıkları saldırganlar bulmadan önce tespit edip düzeltebiliyor.

AI destekli zafiyet keşfinin de benzer bir yol izleyeceği tahmin ediliyor. Kurumlar, bu araçları standart geliştirme süreçlerine entegre edecek, sürekli olarak çalıştıracak ve yeni bir güvenlik standardı oluşturacak.

AI’nın Eksisi: Bulmak Kolay, Düzeltmek Zor

Ancak bu süreçte bir asimetri bulunuyor. Geleneksel fuzzing araçları, kurulum ve kullanım için ileri düzey teknik uzmanlık gerektiriyordu. Yani, sadece uzmanların kullanabildiği bir araçtı. Buna karşılık, bir LLM sadece bir komutla zafiyetleri bulabiliyor. Bu durum, saldırganların teknik bilgi gereksinimini neredeyse sıfıra indirirken, savunma sistemlerinin hâlâ mühendisler tarafından değerlendirilip düzeltilmesini gerektiriyor.

Peter Gutmann, Engineering Security adlı kitabında, “Bugün birçok güvenlik teknolojisi, kimsenin bakmadığı için ‘güvenli’ sayılıyor.” demişti. Bu gözlem, AI’nın hata bulmayı ucuzlattığı günümüzde daha da geçerli hale geldi. Günümüzde kullanılan kodların büyük bir kısmı, özellikle açık kaynaklı altyapılar, küçük ekipler, yarı zamanlı katkıda bulunanlar veya gönüllüler tarafından yönetiliyor. Bu ekiplerin genellikle ayrı bir güvenlik kaynağı bulunmuyor.

Log4j Örneği: Kritik Bağımlılıkların Tehlikesi

2021 yılında, sadece birkaç gönüllü tarafından yönetilen Log4j adlı bir kayıt kütüphanesinde keşfedilen kritik bir zafiyet, yüz milyonlarca cihazı etkiledi. Log4j’nin yaygın kullanımı, tek bir gönüllü tarafından bakılan bir kütüphanedeki zafiyetin, şimdiye kadar kaydedilmiş en yaygın yazılım güvenlik açıklarından biri haline gelmesine neden oldu.

Log4j, kritik yazılım bağımlılıklarının ciddi şekilde denetlenmemesinin bir örneği. Bu durum, AI destekli güvenlik çözümlerinin ne kadar önemli olduğunu gösteriyor. AI, bu tür bağımlılıkları otomatik olarak tarayabilir ve potansiyel zafiyetleri erken aşamada tespit edebilir. Ancak AI’nın bulduğu açıkları düzeltmek için yine insan müdahalesi gerekiyor. Bu da, AI’nın savunma sistemlerinde bir yardımcı araç olarak kullanılması gerektiğini ortaya koyuyor.