Siber güvenlik alanındaki en önemli unsurlardan biri, bu sürecin bir zihin oyunu olduğudur, diyor Wiz’in baş teknoloji sorumlusu Ami Luttwak. AI‘nin iş ortamlarına entegrasyonu hızla artarken, bu durum siber saldırganlar için yeni fırsatlar doğurmakta. Geliştiricilerin kodu daha hızlı göndermesi mümkün olsa da, bu hız beraberinde hataları ve güvenlik açıklarını da getirebiliyor.
Wiz, bu yıl Google tarafından 32 milyar dolara satın alındı ve son testlerinde, vibe coded uygulamalarda sıkça karşılaşılan bir sorunun kimlik doğrulama sisteminin güvenli bir şekilde uygulanmaması olduğunu buldu. Luttwak, “Bu, daha kolay olduğu için böyle inşa edilmiştir,” diyor. “Eğer en güvenli şekilde inşa etmesini istemezseniz, vibe coding ajanları bunu yapmaz.”
Güvenlik ve hız arasında sürekli bir denge kurmak zorunda kalan şirketler için, saldırganların da AI’yi kullanarak daha hızlı hareket ettiğini vurguluyor. Luttwak, saldırganların, AI araçlarını kullanarak iç sistemlere sızmak için komutlar verdiğini belirtiyor. “Artık saldırganlar, AI araçlarını kullanarak saldırılarını gerçekleştirebiliyor,” diyor.
Bu yeni zemin, şirketlerin iç verimliliği artırmak amacıyla sunduğu AI araçlarında da giriş noktaları sağlıyor. Luttwak, bu tür entegrasyonların tedarik zinciri saldırılarına yol açabileceğini belirtiyor. Üçüncü taraf bir hizmetin, bir şirketin altyapısına geniş erişimi olması durumunda, saldırganlar daha derinlere inebilir.
Örneğin, geçtiğimiz ay Drift adlı AI sohbet botu satan bir girişim, siber saldırıya uğrayarak Cloudflare, Palo Alto Networks ve Google gibi birçok büyük müşterinin Salesforce verilerini açığa çıkardı. Saldırganlar, dijital anahtarları kullanarak sohbet botunu taklit etti ve müşteri ortamlarında veri sorguladı.
Luttwak, AI araçlarının kurumsal benimsemesinin hala minimal seviyede olduğunu, ancak Wiz’in her hafta binlerce kurumsal müşteriyi etkileyen saldırılara tanık olduğunu ifade ediyor. “Saldırı akışına baktığınızda, AI her aşamada yer alıyordu,” diyor.
Wiz, 2020 yılında kuruldu ve başlangıçta kurumlara bulut ortamlarındaki yapılandırma hatalarını, güvenlik açıklarını ve diğer riskleri belirlemekte yardımcı olmayı hedefliyordu. Ancak son bir yıl içinde, AI ile ilgili saldırılara karşı daha hızlı bir yanıt verme yeteneği geliştirmek için yeteneklerini genişletti.
Wiz’in, yazılım geliştirme sürecini güvence altına almak için Wiz Code adında bir ürün başlattı ve bu ürün, güvenlik sorunlarını erken aşamada belirleyip, önlem alarak şirketlerin “tasarımda güvenli” olmasını sağlıyor. Wiz Defend ise aktif tehditler karşısında anlık koruma sunuyor.
“İlk günden itibaren bir CISO’ya ihtiyacınız var”
Luttwak, AI araçlarının demokratikleşmesinin yeni girişimlerin çoğalmasına yol açtığını ifade ediyor. Ancak girişimlerin, tüm verileri küçük SaaS şirketlerine göndermeden önce dikkatli düşünmeleri gerektiğini vurguluyor. Güvenlik ve uyum konularına ilk günden itibaren dikkat edilmesi gerektiğini belirtiyor.
Girişimlerin, ilk kod satırını yazmadan önce yüksek güvenlik standartlarını düşünmeleri gerektiğini belirten Luttwak, bu süreçte güvenlik sahipliği ve erişim gibi konuların önceden planlanmasının önemini vurguluyor. Bu sayede, daha sonra süreçleri yeniden düzenlemek zorunda kalmayacaklar.
Sonuç olarak, AI alanında yenilik yapmak isteyen siber güvenlik girişimlerinin şu an tam zamanı. Phishing koruma, e-posta güvenliği, kötü amaçlı yazılım ve uç nokta koruma konuları, hem saldırganlar hem de savunucular için yenilik alanları sunuyor. Luttwak, “Oyun açık,” diyor. “Eğer güvenliğin her alanında yeni saldırılar varsa, o zaman güvenliğin her parçasını yeniden düşünmemiz gerekiyor.”
