Avrupa Birliği Siber Güvenlik Ajansı (ENISA) Baş Siber Güvenlik Sorumlusu Hans de Vries, yapay zeka destekli güvenlik açığı tarama araçlarının teknoloji firmaları için bir dönüm noktası olduğunu söyledi. 19 Mayıs'ta ESET World konferansında konuşan de Vries, 'Artık hiçbir şirketin 'Uygulamamızdaki hatayı bilmiyordum' deme lüksü yok. Çünkü şu an bunu görebilir ve düzeltebilirsiniz' dedi. 2026 yılında Claude Mythos ve OpenAI'in GPT5.5-Cyber gibi yeni öncü modellerin piyasaya sürülmesiyle AI destekli güvenlik açığı tarama teknolojisi benzeri görülmemiş bir hız ve ölçekte ilerleme kaydetti.
De Vries, AB'nin Siber Dayanıklılık Yasası'nın (CRA) zaten varsayılan olarak siber güvenlik ve tasarım gereği siber güvenlik talep ettiğini belirtti. Aralık 2024'te yürürlüğe giren CRA'nın ana yükümlülükleri 11 Aralık 2027'den itibaren uygulanacak, raporlama yükümlülükleri ise 11 Eylül 2026'da başlayacak. De Vries, 'Benim için güvenli tasarım ve varsayılan güvenlik artık iş yapma lisansıdır. Bunu yapmadıysanız, rakibiniz kesinlikle [güvenlik açığı olan yazılımı] kötüye kullanacak ve muhtemelen dava edileceksiniz çünkü sorunu en başında görmeliydiniz' dedi.
De Vries ayrıca, 'AI'yı tutarlı bir şekilde kullanmazsanız, bir iki yıl içinde başarılı olamazsınız' uyarısında bulundu. Aynı etkinlikte konuşan Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) Operasyon Direktörü Paul Chichester, kötü kodlanmış sistemlerde güvenlik açıklarının bulunacağı bir aşamaya girdiğimizi söyledi. Ancak tek bir güvenlik açığının otomatik olarak saldırıya uğrayacağınız anlamına gelmediğini vurguladı.
Sistem Güvenliği
Chichester, 'Daha fazla güvenlik açığı bulmanın bazılarına zarar verebileceğini düşünüyorum. Örneğin, gölge BT çalıştırıyorlarsa veya çok karmaşık katmanlı bir savunmaya sahip değillerse. Ancak ileriye baktığımda, satıcıların AI'yı kullanarak ürünlerindeki güvenlik açıklarını ortadan kaldırmak için çok istekli olacakları bir zaman gelecek' dedi. AI'nın yazılım ürünlerinin çok daha tek tip bir şekilde güvence altına alınmasını sağlayacağını belirtti.
Berlin'deki ESET World etkinliğinde Slovakya merkezli siber güvenlik firması ESET, araştırma ve geliştirme ekibini büyütmek ve siber güvenlik odaklı temel AI modelleri, katmanlı bir AI yığını ve yeni nesil bir AI SOC geliştirmeyi hızlandırmak için 40 milyon Euro yatırım yapacağını duyurdu. Bu yatırım, AI destekli güvenlik çözümlerine olan talebin arttığını ve firmaların bu alana odaklandığını gösteriyor.
Teknik Analiz
Uzmanlar, AI destekli güvenlik açığı tarama araçlarının sadece büyük firmalar için değil, KOBİ'ler için de erişilebilir hale gelmesi gerektiğini vurguluyor. Aksi takdirde, güvenlik açıklarından yararlanma riski artacak ve siber saldırılar daha yaygın hale gelecek. CRA gibi düzenlemeler, firmaları güvenli tasarım prensiplerini benimsemeye zorlarken, AI araçları da bu süreci hızlandırıyor. Önümüzdeki yıllarda, AI destekli güvenlik çözümlerinin standart hale gelmesi ve yazılım geliştirme yaşam döngüsünün ayrılmaz bir parçası olması bekleniyor.
Kaynak: infosecurity-magazine.com