Yazan: Sila Özeren Hacıoğlu, Picus Security Güvenlik Araştırma Mühendisi.
Güvenlik liderleri için en korkulan bildirim her zaman SOC'lerinden gelen bir uyarı değildir; bir yönetim kurulu üyesinin gönderdiği bir haber makalesinin bağlantısıdır. Başlık genellikle FIN8 gibi bir tehdit grubunun yeni bir kampanyasını veya yakın zamanda ortaya çıkan büyük bir tedarik zinciri güvenlik açığını ayrıntılarıyla anlatıyor. Eşlik eden soru kısa ama ima açısından felç edici: "Şu anda buna maruz kalıyor muyuz?".
Yüksek Lisans öncesi dünyada bu soruyu yanıtlamak, affetmeyen bir saate karşı çılgın bir yarış başlattı. Güvenlik ekipleri, ortaya çıkan tehditler için genellikle sekiz saat veya daha fazla olmak üzere satıcı SLA'larını beklemek ya da bir simülasyon oluşturmak için saldırıya manuel olarak tersine mühendislik uygulamak zorunda kaldı. Bu yaklaşım doğru bir yanıt vermesine rağmen, bunun için geçen süre tehlikeli bir belirsizlik penceresi yarattı.
Yapay zeka destekli tehdit emülasyonu, analizi hızlandırarak ve tehdit bilgisini genişleterek soruşturma gecikmelerinin çoğunu ortadan kaldırdı. Ancak yapay zeka emülasyonu, sınırlı şeffaflık, manipülasyona yatkınlık ve halüsinasyonlar nedeniyle hâlâ risk taşıyor.
Son BAS Zirvesi'nde Picus CTO'su ve Kurucu Ortağı Volkan Ertürk, "ham üretken yapay zekanın neredeyse tehditler kadar ciddi istismar riskleri yaratabileceği" uyarısında bulundu. Picus, yeni saldırı yüzeyleri sunmadan yapay zeka düzeyinde hız sağlayan aracılı, LLM sonrası bir yaklaşım kullanarak bu sorunu çözüyor.
Bu blog, bu yaklaşımın neye benzediğini ve neden tehdit doğrulamanın hızını ve güvenliğini temel olarak iyileştirdiğini açıklıyor.
Üretken yapay zeka patlamasına hemen verilen tepki, Büyük Dil Modellerinden (LLM'ler) saldırı komut dosyaları oluşturmasını isteyerek kırmızı ekip oluşturmayı otomatikleştirme girişimi oldu. Teorik olarak bir mühendis, bir tehdit istihbaratı raporunu bir modele besleyebilir ve ondan "bir öykünme kampanyası taslağı hazırlamasını" isteyebilir.
Bu yaklaşım inkar edilemeyecek kadar hızlı olsa da güvenilirlik ve güvenlik açısından başarısız oluyor. Picus'tan Ertürk'ün belirttiği gibi bu yaklaşımı benimsemenin bazı tehlikeleri var:
Sorun yalnızca riskli ikili dosyalar değil. Yukarıda belirtildiği gibi, Yüksek Lisans'lar hala halüsinasyona eğilimlidir. Sıkı güvenlik önlemleri olmadan bir model, tehdit grubunun aslında kullanmadığı TTP'leri (Taktikler, Teknikler ve Prosedürler) icat edebilir veya var olmayan güvenlik açıklarına yönelik istismarlar önerebilir. Bu durum, güvenlik ekiplerinin teorik tehditlere karşı savunmalarını doğrulamak için çabalamalarına ve gerçek tehditlere karşı zaman ayırmamalarına neden oluyor.
Bu sorunları çözmek için Picus platformu temelde farklı bir modeli benimsiyor: aracılı yaklaşım.
Riskli, halüsinasyona yatkın LLM'lere güvenmeyi bırakın. Picus, tehdit istihbaratını doğrudan güvenli, doğrulanmış simülasyonlara eşlemek için çok aracılı bir çerçeve kullanır.
Dünyanın ilk Agentic BAS platformuyla haber uyarısı ile savunma hazırlığı arasındaki boşluğu kapatın.
Smart Threat'te yer alan Picus yaklaşımı, yapay zekayı bir kod oluşturucu olarak kullanmaktan uzaklaşıyor ve bunun yerine onu bilinen, güvenli bileşenlerin orkestratörü olarak kullanıyor.
Sistem, yapay zekadan veriler oluşturmasını istemek yerine, ona tehditleri güvenilir Picus Tehdit Kütüphanesi ile eşleştirme talimatını veriyor.
Bu modelin temelinde, Picus Labs'in 12 yıllık gerçek dünya tehdit araştırmaları sonucunda oluşturulmuş ve geliştirilmiş bir tehdit kütüphanesi bulunmaktadır. Yapay zeka, sıfırdan kötü amaçlı yazılım üretmek yerine, dış zekayı analiz eder ve onu güvenli atomik eylemlere ilişkin önceden doğrulanmış bir bilgi grafiğine göre hizalar. Bu doğruluk, tutarlılık ve güvenlik sağlar.
Bunu güvenilir bir şekilde yürütmek için Picus, tek bir monolitik sohbet robotu yerine çoklu aracılı bir çerçeve kullanıyor. Her aracının, hataları önleyen ve ölçeklendirme sorunlarını önleyen özel bir işlevi vardır:
Planlayıcı Temsilcisi: Genel iş akışını düzenler
Araştırmacı Temsilcisi: İstihbarat için web'i tarar
Threat Builder Agent: Saldırı zincirini birleştirir
Doğrulama Ajanı: Halüsinasyonları önlemek için diğer ajanların çalışmalarını kontrol eder
Sistemin pratikte nasıl çalıştığını göstermek için Picus platformunun "FIN8" tehdit grubuyla ilgili bir talebi işlerken izlediği iş akışını burada bulabilirsiniz. Bu örnek, tek bir haber bağlantısının saatler içinde nasıl güvenli, doğru bir öykünme profiline dönüştürülebileceğini göstermektedir.
Aynı sürecin izlenecek yolu Picus CTO'su Volkan Ertürk tarafından BAS Zirvesi'nde gösterildi.
Süreç, kullanıcının tek bir URL, belki de bir FIN8 kampanyasına ilişkin yeni bir rapor girmesiyle başlar.
Araştırmacı Temsilcisi bu tek kaynakta durmaz. Bağlantılı bağlantıları tarar, bu kaynakların güvenilirliğini doğrular ve kapsamlı bir "tamamlanmış istihbarat raporu" oluşturmak için verileri bir araya getirir.
İstihbarat toplandıktan sonra sistem davranış analizini gerçekleştirir. Rakip tarafından kullanılan belirli TTP'leri belirleyerek kampanya anlatımını teknik bileşenlere ayırır.
Buradaki amaç, yalnızca statik göstergeleri değil, tüm saldırının akışını anlamaktır.
Bu kritik "emniyet valfi"dir.
Threat Builder Agent, tanımlanan TTP'leri alır ve Picus MCP (Model Bağlam Protokolü) sunucusunu sorgular. Tehdit kitaplığı bir bilgi grafiği üzerinde yer aldığından yapay zeka, düşmanın kötü niyetli davranışını Picus kitaplığından karşılık gelen güvenli simülasyon eylemiyle eşleyebilir.
Örneğin, FIN8 kimlik bilgisi dökümü için belirli bir yöntem kullanıyorsa yapay zeka, gerçekte herhangi bir gerçek kimlik bilgisi dökümü yapmadan söz konusu zayıflığı test eden iyi huylu Picus modülünü seçer.
Son olarak ajanlar bu eylemleri, düşmanın taktik kitabını yansıtan bir saldırı zinciri halinde sıralar. Bir Doğrulama Aracısı, hiçbir adımın halüsinasyon görmediğinden veya olası hataların ortaya çıkmadığından emin olmak için eşlemeyi inceler.
Çıktı, organizasyonun hazırlığını test etmek için gereken tam MITRE taktiklerini ve Picus eylemlerini içeren, çalıştırılmaya hazır bir simülasyon profilidir.
Bu ajansal yaklaşım, yalnızca tehdit oluşturmanın ötesinde, güvenlik doğrulama arayüzünü de değiştiriyor. Picus bu yetenekleri "Numi AI" adı verilen konuşma arayüzüne entegre ediyor.
Bu, kullanıcı deneyimini karmaşık kontrol panellerinde gezinmekten daha basit, daha net, amaca dayalı etkileşimlere taşır.
Örnek olarak, bir güvenlik mühendisi "Herhangi bir yapılandırma tehdidi istemiyorum" şeklinde üst düzey bir niyet ifade edebilir ve yapay zeka, yalnızca ilgili politika değişiklikleri veya ortaya çıkan tehditler bu belirli amacı ihlal ettiğinde kullanıcıyı uyararak ortamı izler.
"Bağlam odaklı güvenlik doğrulamaya" yönelik bu değişim, kuruluşların gerçekte neyin istismar edilebilir olduğuna dayalı olarak yama uygulamasına öncelik vermesine olanak tanır.
Ekipler, yapay zeka destekli tehdit istihbaratını, aracı olmayan cihazlardaki kontrol etkinliğini tahmin eden denetimli makine öğrenimi ile birleştirerek, teorik güvenlik açıkları ile kendi organizasyonlarına ve ortamlarına yönelik gerçek riskleri ayırt edebilir.
Tehdit aktörlerinin hızlı hareket ettiği bir ortamda, bir manşeti saatler içinde doğrulanmış bir savunma stratejisine dönüştürmek artık bir lüks değil; bu bir zorunluluktur.
Picus yaklaşımı, yapay zekayı kullanmanın en iyi yolunun onun kötü amaçlı yazılım yazmasına izin vermek değil, savunmayı organize etmesine izin vermek olduğunu öne sürüyor.
Tehdit keşfi ile savunma doğrulama çabalarınız arasındaki boşluğu kapatın.
Picus'un ajan yapay zekasını çalışırken görmek için bir demo talep edin ve çok geç olmadan tehdit istihbaratını nasıl operasyonel hale getireceğinizi öğrenin.
Not: Bu makale Picus Security Güvenlik Araştırma Mühendisi Sıla Özeren Hacıoğlu tarafından ustalıkla yazılmış ve katkıda bulunulmuştur.
Picus Security'nin sponsorluğunda ve yazılmıştır.
Kaynak: Bleeping Computer