Birçok kişi kimlik avı ve fidye yazılımı gibi yaygın tehditlere aşina olsa da dijital altyapımızın temellerini tehdit eden daha yeni, daha hedefli saldırılar ortaya çıkıyor. Fortinet; tedarik zinciri risklerine, açık kaynaklı yazılım güvenlik açıklarına ve üretken yapay zekanın (GenAI) iş operasyonlarına entegrasyonuna odaklanarak ortaya çıkan bu tehditleri inceliyor. Ayrıca kurumların bu gelişen zorlukların önüne geçmek için benimseyebilecekleri stratejik savunma taktiklerini de paylaşıyor. 

Tedarik zincirinde siber riskler 

Son zamanlarda yaşanan olaylar, tedarik zinciri saldırılarının yıkıcı potansiyelinin altını çiziyor. Endişe verici örneklerden biri, yaygın olarak kullanılan açık kaynaklı bir sıkıştırma aracında bulunan kritik bir güvenlik açığı olan XZ Utils arka kapısı (CVE-2024-3094). “Jia Tan” hesabı tarafından yönetilen bu saldırı, 2021‘de başlayan ve 2024'te bir arka kapının konuşlandırılmasıyla sonuçlanan çok yıllı bir operasyondu. Saldırganlar zaman içinde yazılımın içine kendi açıklarını yerleştirerek, tedarik zinciri saldırılarının çok sayıda kuruluşta kullanılan temel yazılımlara ne kadar derinlemesine sızabileceğini ve bunları istismar edebileceğini gösterdi. 

Bu olay, kuruluşların yazılım tedarik zincirlerinin güvenliğini incelemeleri için kritik bir hatırlatma görevi görüyor. Açık kaynaklı bileşenler, genellikle küçük ve yetersiz finansmanlı ekipler tarafından sürdürülen zayıf halkalar olabiliyor. Kurumların yeni güvenlik açıklarının ortaya çıkmasını önlemeleri için güncellemeleri ve yamaları takip etmesi gerekiyor 

GenAI'ın vaatleri ve tehlikeleri 

GenAI, Klarna'nın şu anda 700 müşteri hizmetleri temsilcisine eşdeğer iş yükünü yöneten Yapay Zeka Asistanının da gösterdiği gibi dönüştürücü bir potansiyel sunuyor. Klarna için bu, yıllık 40 milyon dolarlık bir tasarruf anlamına geliyor ve yapay zekanın üretkenliği artırma ve operasyonel maliyetleri azaltma yeteneğini ortaya koyuyor. 

Ancak GenAI'ın entegrasyonu riskleri de beraberinde getiriyor. Yöneticilerin, yapay zeka çözümlerini benimserken siber güvenliğin temel bir husus olduğundan emin olmaları gerekiyor. GenAI sistemleri, saldırganların AI sistemlerine yanıltıcı veriler besleyerek yanlış çıktılara neden olduğu veri zehirlenmesi gibi çeşitli tehditlere karşı savunmasız olabiliyor. Ayrıca bu sistemler, maliyetleri artıran ve performansı düşüren hizmet reddi saldırılarıyla veya hassas verilerin ifşa edildiği gizlilik ihlalleriyle karşı karşıya kalabiliyor. 

GenAI'yi entegre ederken göz önünde bulundurulması gereken üç temel husus kullanılabilirlik, sistem bütünlüğü ve gizlilik olarak ön plana çıkıyor. Bu hususların sağlam bir şekilde yönetildiğinden emin olunduğu takdirde, yapay zeka sistemlerinin geniş ölçekte konuşlandırılmasıyla ilişkili riskler azaltılabiliyor. 

Siber saldırılara karşı en iyi stratejik savunma taktikleri 

Kurumların bu karmaşık tehdit ortamında yollarını bulabilmek için çok katmanlı bir savunma stratejisi benimsemeleri gerekiyor. İşte bu stratejinin bazı kritik bileşenleri: 

1. Proaktif güvenlik testi: kırmızı ve mavi ekip tatbikatları 

Kırmızı ve mavi ekip tatbikatları gerçek dünyadaki siber saldırıları simüle ederek kuruluşların güvenlik açıklarını istismar edilmeden önce ortaya çıkarmasına yardımcı oluyor. Yapay zeka sistemlerinde bu tatbikatların, modellerin halüsinasyon, önyargı ve taciz gibi yasaklanmış ve zararlı içeriklere karşı sağlamlığını değerlendirmeye odaklanması gerekiyor. Kurulmlar, YZ sistemlerinin güvenlik ve etik performansını sürekli olarak değerlendirip geliştirerek potansiyel tehditlerin önüne geçebilirler. 

2. Yapay zekaya özgü güvenlik önlemleri: ATLAS'tan yararlanmaya başlayın 

Yapay zeka iş süreçlerine daha entegre hale geldikçe, yapay zekaya özgü tehditlerin ele alınması büyük önem kazanıyor. Yapay Zeka Sistemleri ne yönelik Adversarial Threat Landscape (ATLAS), MITRE ATT&CK'yi tamamlayan ve yapay zeka sistemlerine karşı gerçek dünyadaki düşman taktiklerini belgeleyen bir bilgi tabanı. Kurumların, bu gelişen tehditler hakkında bilgi sahibi olmak ve YZ teknolojilerini hedef alan saldırılara karşı savunmalarını geliştirmek için ATLAS'ı kullanması gerekiyor. 

3. Sıfır güven mimarisi: daha iyi erişim kontrolüne giden yolculuk 

Sıfır güven mimarisinin benimsenmesi günümüz ortamında, özellikle de yapay zekayı entegre eden sistemler için çok önemli. Bu yaklaşım, ağın içinde veya dışında hiçbir varlığa varsayılan olarak güvenilmemesi ilkesine göre çalışıyor. Kullanıcı kimliklerinin sürekli doğrulanması ve sıkı erişim kontrolleri temel unsurlar arasında yer alıyor. 

Bununla birlikte yapay zeka sistemleri için veri sınırları da aynı derecede önemli. YZ modelleri genellikle büyük miktarda hassas veriyi işler ve bu verilerin yeterince bölümlere ayrılmasını ve korunmasını sağlamak kritik önem taşır. Net veri sınırlarının oluşturulması, hassas bilgilere yetkisiz erişimi önleyerek veri sızıntısı veya manipülasyon riskini azaltıyor. Bu, özellikle veri bütünlüğünün YZ tarafından alınan çıktıları ve kararları doğrudan etkilediği YZ sistemlerinde hayati önem taşıyor. 

Kurumlar, güçlü veri sınırı kontrollerine sahip bir sıfır güven mimarisi uygulayarak yapay zeka sistemlerinin güvenli bir şekilde çalışmasını sağlayabilir ve hem işledikleri verileri hem de ürettikleri içgörüleri koruyabilir. 

Gelişen tehdit ortamı, kurumların siber güvenlik çabalarında uyanık ve proaktif olmalarını gerektiriyor. Kurumlar tedarik zinciri açıkları, açık kaynaklı yazılımlar ve GenAI entegrasyonu ile ilgili riskleri anlayarak ve stratejik savunma taktikleri uygulayarak dijital varlıklarını daha iyi koruyabilirler. Siber güvenlik artık sadece bir BT sorunu değil, kurumun her seviyesinde dikkat gerektiren genel iş stratejisinin kritik bir bileşeni olarak görülüyor.