Siber güvenlik dünyası, yapay zeka destekli araçların daha önce hiç olmadığı kadar hızlı bir şekilde güvenlik açıklarını tespit etmesiyle çalkalanıyor. Hatta teknoloji dışı yayın organları bile bazı yapay zeka modellerinin adeta bir süper silah olarak görüldüğüne dair konuları gündeme taşıdı. Güvenlik dünyasında kabul gören 90 günlük açık bildirim süresinin artık geçerliliğini yitirdiğini ve bunun dünya genelindeki sistemleri sıfır gün saldırılarına karşı savunmasız bıraktığını daha önce de ele almıştık. Bu durumun nedenlerini ve sonuçlarını anlamak için sayılar en doğru araç olacaktır. Zero-Day Clock (ZDC), yaşanmış ve yaşanmakta olan güvenlik zafiyetlerinin sonuçlarını açıkça ortaya koymak için bu sayıları kullanıyor.
Bu interaktif web sitesi, Sysdig'den Sergej Epp tarafından hayata geçirildi ve günümüzde birçok büyük teknoloji ve siber güvenlik firması bu çalışmaya imza atmış durumda. Temelinde yatan gerçek oldukça basit: Yapay zeka alanındaki hızlı ilerlemeler, bir güvenlik açığının keşfedilmesi ile istismar edilmesi arasındaki ortalama süreyi 2021'de yaklaşık bir yıldan, 2026'da sadece bir güne indirdi. Verilerden elde edilen eğilim oldukça çarpıcı ve ZDC, 2027'de bu sürenin bir saate ve hatta dakikalara kadar düşebileceğini öngörüyor.
Bu durum, tek endişe verici gelişme değil. Sıfır gün açığı olarak adlandırılan, yani kötü niyetli kişiler tarafından resmi duyurudan önce kullanılmaya başlanan açıkların oranı, beş yıl önce %31 iken bugün %73.2 gibi devasa bir seviyeye ulaştı. Burada net bir şekilde görünen, istismar edilmemiş güvenlik açıklarının oranının 2021'de yaklaşık %60-70 civarından şu anda sadece %25'e düştüğü. Ancak bu durum yalnızca açıkların duyurulduğu an için geçerli. Verileri incelediğimizde, şu anda çok az güvenlik açığının birkaç haftadan fazla süreyle istismar edilmeden kaldığını ve altı hafta sınırını geçtiğinde ise hiçbirinin kullanılmadığını görüyoruz. Bu, geçen yıla kıyasla %24'lük bir düşüş anlamına geliyor.
Ek olarak, bu grafikler için kullanılan veri setinin oldukça geniş olduğunu belirtmekte fayda var. Yalnızca kamuya açık olarak duyurulan ve istismar edildiği bilinen güvenlik açıkları takip ediliyor. Başka bir deyişle, şu anda buzdağının sadece görünen kısmına bakıyor olabiliriz ve ZDC araştırmacıları, "yalnızca kamuya açık görünen istismarları takip ediyoruz. Özel veya ulus devlet istismarları daha erken ortaya çıkmış olabilir" uyarısında bulunuyor. Bilgisayar güvenliğinin çöküşünün zaman çizelgesi, ZDC'deki özel bir sayfada detaylı olarak sunuluyor.
Peki, bu duruma karşı neler yapılabilir? ZDC araştırmacıları, bir eylem çağrısı yayınladı. Öncelikle, kolayca kabul edilebilecek adımlar var: Her türlü donanım, yazılım, çerçeve ve platformda güvenlik özelliklerinin varsayılan olarak etkinleştirildiğinden emin olmak ve mümkün olduğunca her zaman sıfır güven mimarisini benimsemek. Güvenlik açıklarının %70'inin bellek güvenliği hatalarından kaynaklandığı düşünüldüğünde, C veya C++ yerine Rust gibi bellek güvenliğine sahip dillerin kullanılması zorunlu hale geliyor.
ZDC ayrıca, sistemlerin varsayılan olarak kullan at mantığıyla tasarlanmasını öneriyor. Bu, örneğin istismar edilen bir makinenin kolayca geri yüklenebilmesi anlamına geliyor. Yapay zeka botları saldırganları güçlendirirken, ZDC savunucuların sistemlerinin, kaynak kodlarının ve loglarının tam bilgisine sahip olabilmeleri için ücretsiz ve açık kaynaklı yapay zeka destekli araçların (açık kaynaklı bir Mythos gibi) bulunmasını tavsiye ediyor.
Ardından daha karmaşık öneriler geliyor. En büyük tavsiye, yazılım üreticilerini zarar veren güvenlik açıklarından sorumlu tutmak. Tanınmış siber güvenlik uzmanı Bruce Schneier'in belirttiği gibi, "Geçmişteki 150 yılda hiçbir endüstri, hükümet tarafından zorlanmadıkça güvenlik veya emniyetini iyileştirmedi." Ayrıca, piyasaya ilk çıkan ve/veya kullanımı daha kolay olan güvensiz, teknik olarak kusurlu bir ürünün, daha iyi geliştirilmiş rakiplerini her zaman yeneceğini vurguluyor.
Bunun yanı sıra, saldırganlara zaman avantajı sağlayan yapay zeka ile ilgili yasaların gözden geçirilmesi çağrısı yapılıyor. Örneğin, iyi niyetli ancak yeterince düşünülmemiş olan AB'nin "Saati Durdur" gibi girişimleri, yapay zekanın yayılmasını yavaşlatmayı amaçlasa da, savunmacıların hızını keserek güvenliğe zarar veriyor. Öte yandan, siber saldırganlar yasalara ve yönergelere uymaya eğilimli olmadıklarından, çabalarını hızlandıracaklardır.
ZDC ayrıca, yazılım güvenliğinin jeopolitik bir öncelik haline gelmesi ve kamusal bir endişe olarak ele alınması gerektiğine inanıyor. Bununla birlikte, bu çabaya yönelik yeterli fon ayrılmalı. Son olarak ZDC, siber güvenlik araştırmacılarının yasa yapım sürecine dahil edilmesini talep ediyor. Zira genellikle yasaları yazan kişiler, düzenlemeler için yazdıkları (veya kaldırdıkları) maddeleri tam olarak anlamıyorlar; bu durum insanlık tarihi boyunca bir sabit olarak karşımıza çıkıyor.
