Dartmouth Konferansı’ndaki araştırmacılar, 1955’te yapay zeka (AI) üzerine bir yaz araştırma projesi teklifinde tahmin “…öğrenmenin her yönü veya zekanın herhangi bir özelliği prensipte o kadar kesin bir şekilde tanımlanabilir ki, bunu simüle edecek bir makine yapılabilir.” Bunu takip eden on yıllarda, Yapay zeka araştırmaları devam etti Buzul hızı gibi görünen bir hızda, her zaman yakın gelecekte bir atılım vaat ediyordu – ta ki ChatGPT gibi dil araçları nihayet sahnede patlayana kadar.
Bugün yapay zeka konusunda temelimizi bulduğumuzda, faydaların yanı sıra risklerle de karşı karşıya olduğumuz açıktır. Yakın zamanda yapılan bir anket 1.500 BT uzmanından her biri, karar vericilerin neredeyse yarısının (%49) yeni araçların siber suçlulara yardımcı olacağından endişe duyduğunu, ancak tam %82’si önümüzdeki iki yıl içinde yapay zekayı güvenlik programlarına entegre etmeyi planladıklarını söyledi.
Yapay Zeka Yenilecek Kötü Adam Değil, Kucaklanacak Kahramandır
Yapay zekada 1950’lerden bu yana yaşanan hızlı ilerlemeler, hiçbir yavaşlama belirtisi olmadan büyümenin zeminini hazırladı. Yapay zeka tabanlı güvenlik araçlarına yönelik küresel pazarın şu seviyeye ulaşması bekleniyor: 2030’a kadar 133 milyar dolar günlük DevSecOps iş akışlarında daha fazla entegrasyon ve kullanım ile. Sektör yapay zeka ve makine öğrenimini (ML) daha fazla sürece dahil ettikçe, aşağıdakiler de dahil olmak üzere yapay zekayı iyilik için bir güç olarak kullanmak için giderek daha fazla fırsat görüyoruz.
Güvenlik Araçları için Daha Hızlı ve Daha Doğru Yapılandırma
Günümüzde çoğu güvenlik teknolojisinin etkili olabilmesi için, çoğu zaman karmaşık parametre ayarlamaları yoluyla, çok sayıda manuel ince ayar yapılması gerekmektedir. Araca bağlı olarak bunlar hangi olayların raporlanacağını, aracın hangi güvenlik açıklarını bulduğunu veya sorun önceliklerinin nasıl belirlendiğini etkileyebilir. Tüm bu manuel ayarlamalar zaman alıcıdır ve doğru yapılandırmalar sağlanana kadar sizi tehditlere açık hale getirebilir.
Makine öğreniminin kurtarmaya geldiği yer burasıdır. Bu durumda ML, işlemlerin mümkün olduğunca verimli bir şekilde yürütülmesini sağlamak için örneğin bir tarama kuyruğundaki öğelere öncelik vererek parametreleri sürekli olarak optimize edebilir. Bu yapılandırma görevlerini otomatik hale getirdikten sonra geleceğin siber güvenlik ekipleri, sıkıcı manuel işlere çok daha az zaman harcayacak.
İyileştirilmiş Risk Puanlaması ve Tehdit İstihbaratı
Modern tarama araçları genellikle tarama tamamlandıktan sonra bir risk değerlendirmesi sağlar. Bu, tehdide maruz kalma durumunuzu daha iyi görebilmeniz için uygulamalarınız, web siteleriniz ve ağlarınız genelindeki çeşitli güvenlik koruma düzeylerini ve potansiyel riski gösterir. Farklı araçlar, güvenlik açıklarının teknik ciddiyeti, potansiyel istismar edilebilirliği, istismar edilmesi halinde iş üzerindeki etkileri ve genel güvenlik duruşunuz açısından önemi gibi farklı verileri hesaba katacaktır.
Yararlı olmasına rağmen, bu değerlendirmeler her zaman güvenliğin hızlı yazılım geliştirmeye ayak uydurması için gerekli olan daha derin bir bağlam veya rehberlik sağlamaz. Önümüzdeki yıllarda güvenlik araçları, riski değerlendirmek ve tehditleri yönetmek için makine öğrenimini kapsamlı bir şekilde kullanacak. Makine tarafından oluşturulan sonuçlar kapsam ve kalite açısından gelişmeye devam ettikçe, hangi sorunların eyleme geçirilebilir olduğunu ve riski en aza indirmek için hangi sırayla ele alınması gerektiğini göstererek daha doğru, veriye dayalı karar almayı destekleyecektir.
Güvenlik Testlerinde Daha Keskin Bir Kenar Sağlamak
Büyük dil modelleri (LLM’ler) tarafından desteklenen ChatGPT ve benzeri araçlar geliştirildikçe ve popülerlik kazanmaya devam ettikçe, daha doğru içgörülere daha kolay erişmeyi bekleyebiliriz. Mühendisleri ve geliştiricileri çalışmalarında yapay zeka ve makine öğrenimini güvenli bir şekilde kullanmaya teşvik eden bu makine odaklı çözümler, zaman içinde daha iyi ve daha yararlı bilgiler sağlamalı, hatta doğru güvenlik rehberliği de karışıma dahil edildiğinde bu daha da fazla sağlanmalı.
Güvenlik testi söz konusu olduğunda, AI/ML araçlarını daha keskin hale getirecek şekilde eğitmek, statik uygulama güvenlik testi (SAST) ve dinamik uygulama güvenliği testi (DAST) araçlarının ince ayarının yapılmasına daha da yardımcı olacaktır. Sonuçta bu, tarama sonuçları için kontrolün ve hassasiyetin artırılması, mevcut ve gelecekteki risklere ilişkin güvenilir istihbarat sağlanması ve güvenlik açığı avcılığının etkinliğinin artırılması anlamına gelir.
Daha Az Manuel Doğrulama için Daha Az Yanlış Pozitif
Yanlış pozitifler güvenlik açısından kalıcı bir sorundur ve sıklıkla tarama sonuçlarını kontrol etmek için saatlerce süren manuel çalışma anlamına gelir. Ekipler, zaten mümkün olduğu kadar doğru olması gereken raporları doğrulamak için değerli zaman harcadıkça, güvenlik araçlarına ve süreçlerine olan güvenlerini kaybedebilirler. Neyse ki, yakın zamanda IBM’in araştırması AI’nın yanlış pozitifleri %65 oranında azaltabildiğini ve kaynakları iş değeri katan faaliyetler için serbest bırakabildiğini gösterdi.
Teknoloji ilerledikçe iş ve operasyon liderleri, doğru AI/ML sonuçlarına dayalı olarak güvenle kararlar almak için ihtiyaç duydukları güvenilir verilere sahip olacak. Bu çıktılar, net ve eyleme geçirilebilir güvenlik açığı raporları sunmak için öğrenme sistemlerinin gücünden yararlanacak ve DevSecOps ekiplerinin en önemli şeye odaklanmasına olanak tanıyacak: yenilikçi uygulamalar oluşturmak ve sunmak.
Güvenlikte Yapay Zeka Üstünlüğü Yarışını Kazanmak
Tehdit tanımlamadan araç yapılandırmasına kadar yapay zekanın siber güvenlikteki somut etkilerini zaten görüyoruz. Yaklaşık 70 yıl önce Dartmouth Konferansı’ndaki araştırmacılar yalnızca spekülasyon yaparken, bugün siber güvenlik profesyonellerinin yapay zeka ve makine öğrenimini operasyonlarına ve stratejilerine dahil etmek için çok daha somut fırsatlar araması gerekiyor. Siber güvenliği sürekli iyileştirmeye yönelik mevcut ve yeni ortaya çıkan araçların potansiyelini fark edebilirsek, yapay zeka gerçekten iyi adamlardan biri olabilir.
yazar hakkında
Frank Catucci, ölçeklenebilir uygulama güvenliğine özel mimari tasarlama, işlevler arası mühendislik ve ürün ekipleriyle ortaklık kurma konusunda 20 yılı aşkın deneyime sahip küresel bir uygulama güvenliği teknik lideridir. Frank, OWASP bölümünün eski başkanıdır ve OWASP hata ödülü girişimine katkıda bulunmuştur ve son olarak Data Robot’ta Uygulama ve Ürün Güvenliği Başkanı olarak görev yapmıştır. Bu görevden önce Frank, Gartner’da Uygulama Güvenliği ve DevSecOps Kıdemli Direktörü ve Güvenlik Araştırmacısı olarak görev yaptı ve aynı zamanda Qualys için Uygulama Güvenliği Direktörü olarak görev yaptı. Frank ve karısı, iş ve bir şeyleri hacklemenin dışında bir aile çiftliği işletiyorlar. Açık havanın tutkulu bir hayranıdır ve her türlü balık tutmayı, tekneyle gezmeyi, su sporlarını, yürüyüş yapmayı, kamp yapmayı ve özellikle de arazi bisikletlerini ve motosikletleri sever.