Güvenlik uzmanı Chris Krebs TikTok, yapay zeka ve hayatta kalmanın anahtarı hakkında (bölüm 2)

Bu iki bölümlük bir serinin birinci kısmı. Birinci bölümü okuyun Burada.

VentureBeat kısa bir süre önce ABD İç Güvenlik Bakanlığı’nın (DHS) Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın eski açılış müdürü Chris Krebs ile (neredeyse) görüştü (CISA) ve en son Kamu Politikası Baş Sorumlusu olarak görev yaptı. SentinelOne. SentinelOne tarafından satın alınan Krebs Stamos Grubunun kurucu ortağıydı. Krebs aynı zamanda Aspen Enstitüsü’nün ABD Siber Güvenlik Çalışma Grubu’nun eş başkanıdır.

VentureBeat’in sanal röportajının II. Bölümünde Krebs, kuruluşların altyapılarının siber ve fiziksel güvenliğini iyileştirme ihtiyacını vurguluyor. Ayrıca sağlık ve üretime özel olarak odaklanarak tedarik zinciri saldırılarının neden arttığına dair bakış açısını da paylaşıyor. Krebs ayrıca üretken yapay zekanın etki yaratmak için insan merkezli güvenliği nasıl güçlendirmesi ve geliştirmesi gerektiğini de açıklıyor.

VentureBeat’in Chris Krebs’le yaptığı röportajın ikinci yarısı şöyle:

VentureBeat: Altyapı odaklı siber ve fiziksel güvenlikle ilgili ulusal güvenlik stratejilerini nasıl ele alırsınız? İçinde ABD İstihbarat Topluluğunun 2024 Yıllık Tehdit Değerlendirmesi Yeni yayınlanan raporda Rusya’nın özellikle altyapıya saldırmada iyi olduğundan bahsediliyor.

Krebs: Kontrol sistemleri imalat alanında ve zorlu imalat sektörlerinde birlikte çalıştığımız çok sayıda müşterimiz var ve ben de onların mevcut tehdit ortamının neye benzediğini düşünmelerine yardımcı oluyorum.

Ama bence diğerlerinden biraz daha fazla yaptığımız şeylerden biri, sizin de bahsettiğiniz gibi tarihsel olarak geriye bakmaktır, Rusya, bu yüzden Kum Solucanı ve askeri istihbarat ekibi GRU hakkında konuşacağız. Son birkaç yılda çok ama çok etkili oldular. 2015 ve 2016’da Ukrayna gridini çökertenler onlardı. Andy Greenberg kitabında bundan bahsediyor Kum kurdu. Ve sonra birkaç şey daha yaptılar, NotPetya ve Orta Doğu’da bazı şeyler var ve hatta son zamanlarda Hitachi Micro SCADA etkinlikleriyle gerçekten ilginç yetenekler sergilediler.

Ve görmeye devam ettiğim şey, yetenek ve karmaşıklık geliştirmelerinin gerçekten ilginç basamakları. Ve böylece, özellikle sonuncusunda, SCADA’daki kontrol sistemlerinde arazide yaşamak gerçekten çok ileri düzeyde. Ve ben de “hangi yıl?” diye sordum. 2023, 2024 gibi. 2015, 2016’da neredeydiler? 2027’de nerede olacaklarını düşünüyoruz? Ekibimin çoğunu düşünmeye ittiğim şey de bu. Bu eğriye dayanarak nereye gideceklerini düşünüyoruz? Burada mümkün olanın eğrisi nedir? Mümkün olduğunca çok sayıda saldırı yüzeyini ve olası güvenlik açığı sınıflarının tamamını kapatmaya başlamak için müşterilerimizle birlikte çalışmaya başlayalım. Ve bence bu sizi farklı bir zihniyete sokuyor. SentinelOne kısa süre önce satış başlangıcında yeni markamızı piyasaya sürdüğünde, “Yarını güvence altına almak” sloganımızla şaşkına dönmüştüm. Çünkü ben CISA’dayken sloganımız şuydu: “Bugünü savun, yarını güvence altına al.”

Ve buradaki konseptin tamamı şu bakış; şu anda her gün, gün boyu gördüğümüz saçmalıklara değinebilirsin. Her zaman bu şeylerle mücadele edeceksin. Ancak gününüzün veya haftanızın en azından bir kısmını kötü adamların nereye gittiğini ve iki yıl içinde nerede olmak istediğinizi düşünmeye ayırmazsanız ve bu stratejiyi planlamaya ve uygulamaya başlamazsanız, her zaman başarısız olursunuz. bugünkü şeylerle mücadele edeceğiz.

VentureBeat: Çinliler altyapıyı nasıl hedefliyor?

Krebs: Çinlilerin altyapı hedefleme stratejilerinde böyle bir değişiklik yapması da ilginç. On yıldan fazla bir süre boyunca, her şey fikri mülkiyet hırsızlığı ve ticari casuslukla ilgiliydi; neredeyse her şeyi çaldıkları için devam ettikleri şaka noktasına kadar. Çalınacak hiçbir şey kalmadı. Ama açıkçası çok daha farklı. Ve bu çok daha vahim bir durum çünkü ABD’nin kritik altyapısındaki önceden konumlanmaları aynı zamanda askeri planlarına da bağlı. Ve Başkan Xi, askeri liderliğine, 2027 yılına kadar Tayvan’ı işgal etme ve ele geçirme kararına sahip olmak değil, yeteneğe sahip olmak istediğini söylerken.

Bunun bir kısmı elbette kritik altyapıda pozisyon almakla ilgili olacak. İNDOPACOM çalışma alanı. Ancak bazı Volt Typhoon ve diğer raporlar hakkında en endişe verici olan şey, bunların ABD’nin kritik altyapısında, doğrudan askeri destek bağlantısı olmayan şeylerde keşfedilmiş olmasıdır. Yani bu lojistik değil, savunma sanayi üssü değil, ABD ordusu değil. Sivil kritik altyapıdır.

Bu da nedenine geliyor. Ve neden neredeyse TikTok öğesi, değil mi? Bir veri güvenliği parçası var, bir de etkileme operasyon parçası var. Ve bu, her zaman teknik saldırıyla ilgili olmayan daha geniş stratejinin bir başka tezahürüdür. Fiziksel saldırının psikolojik belirtileriyle ilgilidir. Ve Ruslar bunu oldukça iyi yapıyor.

Ve Çinliler bu stratejiyi benimsemeye başlıyor. Ve yine biraz daha fazla hareket etmeli, yarını güvence altına almalı, kötü adamların nereye gittiğini düşünmeliyiz, teknolojiye ve risklerin neler olduğuna dair çok teknik, yalnızca siber düşüncemizden çıkmalıyız. Açıkçası, siber-fiziksel sistemlerin insan üzerindeki etkileri ve siber-fiziksel sistemlere yönelik saldırılar üzerindeki riskler muhtemelen çok ama çok daha büyüktür.

Şu anda her yöneticinin şunu düşünmesi gerekiyor: “Peki, Çinlilerin Tayvan’ı işgalinde benim sistemlerim nasıl hedef haline gelebilir? Bu işe nasıl bulaşabilirim? Açıkçası şu anda nasıl 2024’teki ABD seçimlerini bozmaya kalkışabilirim?” Bu sadece oylama sistemleriyle ilgili değil. “Sahip olduğum, yönettiğim, hedef alınabilecek, bir tür etkisi olabilecek başka bir şey var mı?” Bu da yine gündelik hayattan çok daha farklı bir düşünme düzeyini gerektiriyor ve birçok insanı konfor alanlarından çıkarıyor.

Ancak Change Healthcare, sağlık sisteminde oynadıkları rolü ve ödeyiciler ile uygulayıcılar arasındaki aktarımı kolaylaştırma rolünü tam olarak takdir edenlerin burada harika bir örnek olduğunu düşünüyorum. Gerçekten dışarı çıkıp şöyle demelisiniz: “Pekala, eğer hedef alınır ve nakavt edilirsem, gerçek büyük resim etkileri ne olurdu?” Ve sanırım önümüzdeki çeyreği ve nasıl performans gösterdiğimizi düşünürken direksiyon başında biraz fazla uyuyoruz.

VB: Kötü aktörlerin, diyelim ki hayatın sağlık hizmetleri ile dengede olduğu zayıf tedarik zincirlerini aradıkları ve aşırı derecede büyük fidye talepleri alabileceklerini fark ettikleri değerlendirmesine katılıyor musunuz?

Dolayısıyla, özellikle sağlık hizmetlerinde, bu kuruluşların üzerinde ödeme yapma konusunda çok fazla baskı olduğunu bu şekilde düşünmenin mantıksız olmadığını düşünüyorum.

Yeterince tekrar ve saldırı yoluyla, sağlık hizmetlerinin gerçekten savunmasız olduğunu keşfetmelerinin muhtemelen daha muhtemel olduğunu düşünüyorum: çok fazla eski teknoloji, çok fazla yatırım yok ve kuruluşun ölüm kalım nedeniyle baskı altındayken ödeme yapması. Devasa mülkler, çok sayıda eski sistem, muhtemelen zayıf kimlik yönetimi ve hijyen ve zayıf güvenlik açığı yönetimi konusunda benzer profile sahip kuruluşlara bakmaya başlayabilirsiniz. Peki bir saldırının ve çevrimdışına alınmanın sonuçları nelerdir?

Bunu üretimde de görüyoruz. 2023 tarihli Gözetleme Kulesi raporu, aslında sağlık hizmetlerinden çok üretimin hedeflendiğini öne sürüyor. Ancak aynı şey imalat için de geçerli: fabrika veya atölyedeki aksama sürelerinin gerçek anlamda kârlılığa etkisi var. Sanırım bu, görmeye devam edeceğim bir trend. Bu aslında onları ne zaman kilitlediğinizle ve işin çevrimdışı olmasıyla ilgilidir; Kötü adamların işletme sahipleri ve işletmecilerden yararlandığı yer burasıdır.

Fidye yazılımına ilişkin savunmalar gelişiyor. Tespit gelişiyor, hafifletme gelişiyor ve kurtarma gelişiyor. Rubrik ve diğerleriyle kurtarma alanında bazı yenilikler oldu. Ben de Rubrik’in danışmanıyım, bu yüzden bunu işaretleyeceğim. Ancak, yalnızca teyp veya güvenliği ihlal edilebilecek diğerlerinden ziyade, değişmez yedeklemeler mevcuttur. Sanırım ödemelerin değerinin üst sınırının arttığını görüyoruz, ancak ödemelerin sayısının orantılı olarak şifrelemede muhtemelen azaldığını düşünüyorum.

Ödemeler muhtemelen kısmen düzenleyici artışlar nedeniyle veri gaspı tarafında artıyor, aynı zamanda sadece itibar, müşteri verileri ve bunun gibi şeyler de var. Ve bu, Beyaz Saray’dakiler gibi politika yapıcıların gerçekten piyasaya müdahale etmek istediklerinde düşünmelerini gerçekten tavsiye ettiğim bir konu. Ödeme yasaklarını düşünüyorsunuz; Bakın burada ne tür ödemelerden bahsediyoruz? Şifreleme ve şifre çözme ödemelerinin yasaklanmasından mı bahsediyoruz? Veri gaspı ve veri silmeye ilişkin ödeme yasaklarından mı bahsediyoruz? Ve sadece farklı faktörler ve teşvikler söz konusu ve aynı zamanda mevcut olan farklı savunmalar ve kolluk kuvvetleri ile askeri ve siber komuta kademesindekilerin meşgul olabileceği şeyler.

VB: Daha fazla insan içgörüsü sağlama bağlamında üretken yapay zekaya ne dersiniz? Teknolojiye çok fazla kapılmamak yerine insan unsuruna daha fazla odaklanılmasından bahsettiniz. Daha iyi insan merkezli güvenliğin sağlanmasında yapay zeka genlerinin rolünü ne görüyorsunuz?

Krebs: Genel olarak AI kuşağının aşırı abartıldığını düşünüyorum. Ve bu sadece ben değilim. Demek istediğim, şu anda çok sayıda rapor var ve satış ekipleri şöyle diyor: “Hey, hadi burada beklentileri azaltalım. Tam olarak olacağımızı düşündüğümüz gibi değiliz.” Ve özellikle siber perspektiften baktığınızda, gen yapay zekanın düşmanca kullanımına henüz bazı korku hikayeleri eşlik etmiyor. Demek istediğim, birkaç hafta önceki OpenAI Microsoft raporu, yapay zekanın şu anda kötü adamlar tarafından üç temel kullanımından bahsediyordu: sosyal mühendislik ve daha iyi kimlik avı e-postaları yazmak. İkincisi ise hedef ve personel araştırmasıdır. Üçüncüsü ise temel görevlerin otomasyonudur. Peki yolun aşağısında ne beklerdik? Kötü amaçlı yazılım geliştirme, ancak bu çok uzakta olacak. Daha da uzaktaki akıllı implantlar. Yani şu anki düşüncem savunmanın hücumu geride bıraktığı yönünde. Aslında en azından iyi adamlar için yapay zekayı kullanma konusunda oldukça iyi bir iş çıkarıyoruz; SentinelOne’da Purple AI ve tehdit avcılığına sahip kendi teknolojimiz var. Bunun birkaç hafta içinde genel kullanıma sunulması bekleniyor.

bence [AI] işleri çok kolaylaştırıyor. Yani tehdit avcılığı için YARA kuralının nasıl yazılacağını bilmenize gerek yok. Doğal dille ilgili bir soru sorabilirsiniz ve şöyle diyebilirsiniz: “Hey, bana kum solucanıyla uzlaşmaya sahip olabileceğime dair herhangi bir kanıt bulun.” Bu inanılmaz derecede erişilebilir bir şey. Ve sonra transformatör, “Hey, işte bana sormamı isteyebileceğin diğer iki veya üç ilgili soru daha var” dediğinde. Ve sonuçta bunların hepsi otomatikleşecek. Yani bana göre bu iyi adamlar için gerçekten bir avantaj çünkü bazı karmaşıklıkları ve gerçekten teknik engelleri ortadan kaldırıyor ve onu herkes için çok daha erişilebilir hale getiriyor.