Radware Global Threat Analysis Report

Yapay Zeka'nın (GPT) Etkisi

2023 yılında, teknoloji dünyasında dikkat çekici bir şey oldu: yapay zeka (YZ), ana akıma girdi. Aslında, 2023'te sahneye çıkan asıl teknoloji, büyük dil modelleri (LLM'ler) ve daha spesifik olarak, üretken önceden eğitilmiş dönüştürücülerdir (GPT).

LLM, GPT gibi dönüştürücü tabanlı modelleri de içeren ancak onlarla sınırlı olmayan çeşitli dil modellerini kapsayan daha geniş bir terimdir. YZ ise, LLM'lerin bir alt kümesi olduğu çok daha geniş bir alandır. Üretken YZ ise, metin, görsel, video ve müzik gibi içerik üretim teknolojilerinin bir yelpazesi olan çatı bir terimdir. LLM'ler, metne odaklanmış bir üretken YZ alt kümesidir. Bu bağlamda, GPT, dünyayı fırtına gibi etkisi altına aldı ve CES 2024'te sunulan yenilikler göz önüne alındığında, üretken YZ çok yakında hayatımızın her alanının bir parçası olacak gibi görünüyor. YZ, dikkatleri üzerine çekerken, kötü niyetli tehdit aktörlerinin ilgisinden de kaçamadı. Üretken YZ uygulamaları önemli bir hızla yayılmaya başladı, ancak bu yükseliş, kötüye kullanımına karşı korunma konusunda yeni zorlukları da beraberinde getirdi.

Üretken YZ hizmet sağlayıcıları, modellerinin kötü amaçlarla kullanılmasını engellemek için koruyucu önlemler almanın önemini fark etti. Giriş Metni Saldırısı (prompt hacking) yeni bir tehdit olarak ortaya çıkarken, sağlayıcılar bu önlemleri sürekli olarak iyileştirmeye zorlandı. Giriş Metni Saldırısısı, hem iyi niyetli kullanıcıların hem de kötü niyetli aktörlerin YZ modellerini, aslında yapmaları gerekenin dışında görevleri yerine getirmeleri için manipüle etmelerine olanak tanıyor.

Bir başka cephede ise, GitHub üzerinde özel açık kaynak GPT'ler ortaya çıkmaya başladı ve bu modeller, belirli amaçlar için özelleştirilmiş uygulamalar oluşturmak amacıyla önceden eğitilmiş büyük dil modellerini kullanıyor. Bu özel modeller, ticari sağlayıcılar tarafından uygulanan koruyucu önlemlerden yoksun olduğundan, yeraltı ücretli YZ hizmetleri ortaya çıkmaya başladı. Bu hizmetler, GPT benzeri yetenekler sunarak kötü amaçlı faaliyetlerde bulunan tehdit aktörlerine hem koruyucu önlemler olmadan hem de kötüye kullanım amacıyla optimize edilmiş hitap ediyor.

Bu YZ devriminin merkezinde çok önemli bir anlayış yatıyor: Büyük Dil Modelleri gerçekten akıllı değildir. Onlar, devasa miktarda internet verisiyle eğitilmiş büyük istatistiksel dil işlemcilerdir. Eğitimleri doğrultusunda bilgi sağlama konusunda başarılıdırlar, ancak eleştirel düşünme veya tamamen yeni fikirler üretme yetenekleri yoktur. Bunun yerine, devasa veri setlerine dayanarak en yakın eşleşmeyi ararlar ve bu şekilde ara değer hesaplama işlemi yaparlar.

Bununla birlikte, LLM'ler eğitim ve verimlilik için güçlü bir araç sunar. Sağduyulu bir şekilde kullanıldıklarında, LLM'ler bireylerin hedeflerine daha verimli bir şekilde ulaşmalarına yardımcı olabilir. Ancak aynı zamanda, kötü niyetli tehdit aktörlerinin daha geniş bir ağ kurarak saldırı harekatı ölçeklendirmelerine de olanak tanır.

Üretken Düşman Ağları (ÜDA) ve Yayılım Modelleri (YM), metin dışındaki içeriklere yaklaşmak için bir makine öğrenimi çerçevesidir. LLM'ler, öğrendiklerini doğru bir şekilde yineleyen papağanlar gibi iken, ÜDA ve YM sanatçılar gibidir. Resim, video, ses veya diğer içerikleri üretme yeteneğine sahiptirler. ÜDA’lar, çıktıları oluşturmak ve değerlendirmek için bir jeneratör ve ayırt edici ağ kullanarak, yeni içerik "icat etmek" için deneme yanılma yöntemiyle çalışır.

LLM'ler, üretkenlik ve çok yönlülük açısından bir dereceye kadar fayda sağlasa da, nihayetinde eğitildikleri verilerle sınırlıdırlar. LLM'ler yalnızca doğal dillerle sınırlı değildir, aynı zamanda programlama dillerini de yeniden üretme ve oluşturma konusunda başarılıdırlar. Daha düşük beceriye sahip tehdit aktörleri, LLM'leri daha karmaşık saldırı betikleri veya kötü amaçlı yazılımlar oluşturmak için kullanabilir, ancak bu saldırılar ve kötü amaçlı yazılımlar hala LLM modeline gömülü bilgilere dayalı olarak sınırlıdır. Dolayısıyla, çok yönlülük artışı, saldırıların daha yüksek ortalama çok yönlülüğe sahip daha fazla sayıda olmasında yatmaktadır, bunun doğrudan karmaşıklığı ve çok yönlülük ile bir ilgisi yoktur.

Tehdit aktörleri, sektörün diğer üyeleri gibi öğrenir ve uyum sağlar. Mevcut üretken YZ sistemleriyle öğrenme ve araştırmadaki hızlanma, onların çok daha hızlı bir şekilde gelişmelerine ve karmaşık saldırılar oluşturmalarına imkan sunmaktadır. Hatta ileri düzey tehdit aktörleri için, mevcut üretken YZ araçları, üretkenliklerini artırma konusunda geniş fırsatlar sunmaktadır ve açık kaynak yazılımlarındaki güvenlik açıklarını keşfetmek için kullanılabilir. Bu da, sıfırıncı gün açıklarının hızla yayılmasına neden olabilir.

Çevre değişiyor ve üretken YZ de baş döndürücü bir hızla evrimleşiyor. Yakın zamanda, Google, bugüne kadarki en yetenekli YZ modeli olan Gemini'yi tanıttı. Gemini, tek bir istemle metin, ses, görsel, video ve kodu yorumlayabilen ve üretebilen çok modlu bir üretken YZ sistemidir. Bu araçlar, yalnızca birkaç tuş vuruşuyla yüksek derecede güvenilir dolandırıcılıkları ve derin taklitleri (deepfakes) üretmeyi mümkün kılacak. Etik sağlayıcılar, kötüye kullanımı sınırlamak için koruyucu önlemler alacak, ancak benzer sistemlerin halk alanına girmesi ve kötü niyetli aktörler tarafından gerçek verimlilik makinelerine dönüştürülmesi sadece zaman meselesidir. Bu, suçluların tam otomatik büyük ölçekli oltalama ve yanlış bilgi saldırıları yürütmelerine olanak tanıyacaktır.

Büyük Dil Modelleri ve Üretken Düşman Ağları, teknolojik manzarayı dönüştürüyor. Büyük Dil Modelleri, verimliliği artırırken görevleri, hem meşru kullanıcılar hem de kötü niyetli aktörler için benzersiz bir ölçekte otomatikleştiriyor. Öte yandan, ÜDA'lar, yeni saldırı yükleri de dahil olmak üzere yeni içerikler oluşturma potansiyeline sahiptir.

YZ yolculuğu, çeşitli mevşim geçişlerine tanıklık etmiş olsa da, bir şey kesin: YZ ortamı evrimleşmeye devam ediyor ve hem vaatler hem de zorluklar sunuyor. Yıllardır güvenlik sahnesinde olduğu gibi, bu da iyi ve kötü aktörler arasında bir teknolojik yarış olacak. YZ, tehditleri ve tehdit aktörlerini ele alma biçimimizi uyarlamaya zorlayabilir, ancak gelecekte temelde geçmişten farklı olmayacaktır.

Uygulama Düzeyindeki Saldırılara Yönelme 2023 yılında siber güvenlik alanı hızla evrildi. Yılın ilk yarısında, hizmet erişim reddi (DoS) saldırı desenlerinde önemli bir değişim gözlemlendi. DoS saldırıları giderek L7 katmanına (uygulama katmanı) geçmeye başladı ve yalnızca çevrimiçi uygulamaları ve bunların API'lerini değil, aynı zamanda DNS gibi temel altyapıyı da hedef alıyordu. 2023'ün ilk yarısında DNS sorgusu akışlarında önemli bir artış yaşandı ve bu trend yılın ikinci yarısında daha da kötüleşti.

Web dağıtımlı hizmet reddi saldırıları (Web DDoS) daha sofistike hale geldi ve Ekim 2023'te Google tarafından daha önce bilinmeyen bir HTTP/2 Hızlı Sıfırlama (Rapid Reset) saldırı tekniği açıklandı. HTTP/2 özelliğindeki bir güvenlik açığından faydalanarak saldırganlar, daha fazla kaynak yatırımı yapmadan uygulama katmanı Web DDoS saldırılarının hızını önemli ölçüde artırabiliyorlardı. Google, bu yeni HTTP/2 Hızlı Sıfırlama tekniğini kullanan bir dizi DDoS saldırısının, Google'ın geçen yıl kaydettiği önceki rekorun 7,5 katı kadar bir saldırı oranına ulaştığını gözlemledi. Bu saldırılar, saniyede 398 milyon istek (RPS) kadar yüksek zirvelere çıkabiliyordu.

Hacktivistler, L7 DDoS sorununda önemli bir parça olmaya devam etti. Saldırıların etkinliği, vatansever gönüllüleri botnet'lere dahil ederek ya da saldırıların nasıl yapılacağına dair özel araçlar ve ayrıntılı eğitimler sunarak önemli ölçüde artırılmıştı.

Ağ katmanı saldırıları daha iyi anlaşılmakta ve 2023'te karşılaşılan yeni nesil HTTPS sel saldırılarının tespiti ve hafifletilmesi daha zor hale gelmişti. HTTPS sel saldırıları birkaç yıldır mevcut olsa da, bazen eski bir konu olarak görülse de, yeni nesil HTTPS sel saldırılarının hacmi ve şiddeti önemli ölçüde artmış, saldırganların çok yönlülüğü ve acımasızlığı da büyümüştü.

Saldırganlar Bulut’a Yöneliyor Kötü niyetli aktörlerin bulut tabanlı operasyonlara geçiş yaptığı belirgin bir trend bulunuyor. Zararlı aktörler, IoT cihazlarından çok daha ölçeklenebilir ve maliyet etkin bulut hizmetlerine geçiş yaparak, kontrol ettikleri çok güçlü bir dizi düğümü çok daha düşük maliyetle yönetebiliyorlar. Bu geçişin avantajları büyük: Sunucuları üzerinde kontrolü koruyorlar, cihazların yeniden başlatılmasından kaynaklanan kayıplar yaşamıyorlar ve güvenlik araştırmacıları tarafından tespit edilme riskini azaltıyorlar. Sık sık değişen yerleşik IP adresleri sağlayan çok sağlam barındırma ve proxy hizmetleri kullanarak, Web DDoS saldırıları da dahil olmak üzere yüksek frekanslı, hacimli saldırılar başlatmak için mükemmel bir platform oluşturuyorlar.

En Hassas Yerden Vurmak DNS sorgusu akışları 2023 yılı boyunca büyümeye devam etti ve yılın son aylarında yeni zirvelere ulaştı. DNS sorgusu akışları, DNS sunucusunun kaynaklarını etkileyen uygulama düzeyindeki saldırılardır. Saldırganlar, yaşlanan IoT cihazları ve kamuya açık cihazlar ile sunucularda bulunan varsayılan ve zayıf şifrelerden faydalanıyor. Tüketici IoT cihazları, yıkıcı şekilde çalışan sahte rastgele altağ saldırıları, yani DNS Water Torture saldırıları için ideal bir temel oluşturuyor. Bu tür saldırılar, yerel sağlayıcının yönlendiren DNS çözümleyicilerini paydaş olarak kullanarak, yetkili DNS sunucusuna yönlendirilen dağılmış, rastgele sorgu akışları oluşturur. Yetkili sunucu, yönlendiricilere karşı bir meydan okuma yapabilir, ancak bu sunucular meşru olduğu için kötü amaçlı cihazlar olarak işaretlenmez.

VoIP altyapıları, hizmet reddi saldırıları için önemli bir hedef olmaya devam etti. Küresel pandemi sonrası, SIP hizmetleri DDoS saldırılarının daha yaygın hedefi haline geldi. Genellikle işletmelerin şubelerine ve genel merkezlerine yapılan saldırılarda, saldırganlar hedeflerinin iletişimini engellemeye çalışıyorlar.

Giriş Metni Saldırısı (prompt hacking): yapay zeka (YZ) modellerinin istenmeyen veya beklenmeyen çıktılar üretmesi için verilen giriş (prompt) metinlerini manipüle etme işlemi.

Kaynak: Radware 2024 Global Threat Analysis Report