Microsoft Algılama ve Yanıt Ekibi (DART), kuruluşların ve güvenlik ekiplerinin giderek artan yapay zeka destekli siber tehditlere nasıl yanıt vermesi gerektiği konusunda tavsiyeler yayınladı.
Microsoft'un kıdemli güvenlik araştırmacısı Mary Asaolu, 3 Haziran'da Infosecurity Europe'da şunları söyledi: "Yapay zeka muhteşem, işimizi kolaylaştırıyor. Ancak yararlı olan aynı yapay zeka, tehdit aktörleri tarafından kolayca manipüle edilebilir. Bunu sosyal mühendislikte ve günlük araştırmalarımızda da gördük."
Ayrıca yapay zeka, kuruluşlara ve çalışanlara fayda sağlamak için kuruluş içinde konuşlandırılırken, doğru yönetilmezse, yapay zeka kodu siber güvenlik riskleri oluşturabilir.
Microsoft'un baş güvenlik araştırmacısı Meaghan Bradshaw, "Yapay zeka gerçekten de ortaya çıkan bir açıdır" dedi. "Fakat yapay zeka kodu başka bir risk katmanı daha getiriyor. Yapay zeka kodunun neredeyse yarısı kusur içeriyor. Saldırganlar, uygulamaları veya verileri tehlikeye atmak için bundan yararlanabilir."
Gelecekte Ne Bekleniyor?
Bu teorik bir kavram değil: Siber suçlular, Microsoft'un 'JustAskJacky' adlı bir kampanyanın ayrıntılarını içeren 'Akıllı Tehdit Çağında Yapay Zekanın Güvenliğini Sağlama' başlıklı Avrupa Bilgi Güvenliği konuşmasında da gösterildiği gibi, yapay zeka araçlarını saldırı zincirinin bir parçası olarak zaten kullanıyor.
Uzmanların Görüşleri
JustAskJacky saldırısı, kullanıcıları yasal bir yapay zeka asistanı gibi görünen ancak aslında siber suçluların kötü amaçlı yazılım dağıtmak için kullandığı bir arka kapı olan bir şeyi indirmeleri için kandırıyor.
Kampanya, bunu profesyonel görünümlü arayüzler ve geçerli dijital imzalarla birleştirerek hem kullanıcıların hem de güvenlik araçlarının onu yasal yazılımdan ayırt etmesini zorlaştırıyor ve böylece radarın altında kalmasını sağlıyor.
Teknik Analiz
Aslında, kötü niyetli yapay zeka asistanı tespit edilmekten kaçınma konusunda o kadar başarılıydı ki, ancak Microsoft DART ayrı bir sorunu araştırmak üzere bir kuruluşa getirildiğinde keşfedildi.
Bradshaw, "Bu uygulamanın günlük iş akışlarına yardımcı olacak bir yapay zeka asistanı kılığına girdiğini buldular" diye ekledi.
Sonuç ve Değerlendirme
İlk bakışta normal çalışıyor gibi görünüyor; ancak kurulum sırasında, kontrolü sürdürmek ve telemetri göndermek için her dört saatte bir çalışan zamanlanmış bir görev oluşturan bir kalıcılık mekanizmasıyla birlikte Java ile yazılmış bir arka kapı dağıtılır.
Sistem Güvenliği
Bradshaw, bundan çıkarılacak dersin, kuruluşların ve kullanıcıların bir adım geri çekilip hangi AI hizmetlerini kurdukları ve nereden geldikleri hakkında düşünmeleri gerektiğidir, çünkü tehdit aktörleri, çalışanların AI araçları aradığını biliyor.
“Herkes günlük yaşamı geliştirmek için bundan yararlanmaktan heyecan duyuyor. Ancak diğer taraftan, bu durum çoğu zaman kullanıcıların gardını düşürmesine ve ne çalıştırdıklarını bilmemesine yol açmaktadır. Tek gereken, bu tutunmayı kazanmak için bir kullanıcının ikna edilmesidir” dedi.
“Müşterilerimize verdiğimiz en yaygın önerilerden biri, kurulu standart dışı uygulamaları değerlendirmeye zaman ayırmalarıdır. İş ihtiyacı yoksa onlardan kurtulun. Çünkü size faydası olduğu kadar tehdit aktörlerine de faydası vardır. Çalışanların ne kullandığını bildiğinizden emin olun," diye ekledi Bradshaw.
Nasıl Önlem Alınmalı?
Yapay Zekayla Artırılmış Çalışanların Güvenliğini Sağlama
Pek çok siber güvenlik sorunu gibi, bir sorunu (bu durumda yapay zeka uygulamalarının kurulumuyla ilgili siber güvenlik riskleri) çözmenin en iyi yollarından biri, bunun önüne geçmektir.
Detaylar ve Etkileri
Yönetim kurulu seviyesinden kıdemsiz personele kadar işletme genelinde çalışanlar, yetkisiz yapay zeka araçlarının indirilmesiyle ilgili potansiyel riskler hakkında bilgilendirilmeli ve yapay zeka asistanlarının nasıl güvenli bir şekilde benimsenip dağıtılacağı konusunda bilgi sağlanmalıdır.
Asaolu, "Güvenli evlat edinme için net bir yol haritası sağlayın" dedi. "Güvenlik incelemelerinizin mevcut olmasını ve yapay zekanın yönetim kurulunun müzakere düzeyinde olmasını sağlayarak, yapay zeka güvenliğini bir liderlik önceliği haline getirin."
“Yapay zekanın sorumluluk olarak kullanıldığından emin olun, iyi yapay zekanın varsayılan davranış olduğundan emin olun. Ayrıca güvenlik ekiplerinin risk değerlendirmeleri yapmak ve olağandışı davranışları izlemek için donanımlı ve koordineli olmasını sağlayın" diye ekledi.