"Fidye yazılımı bir bakıma bir lütuftu çünkü siber güvenlik iyileştirmelerini zorunlu kılıyordu": Bir Amazon yöneticisinin analizi

Bu hafta yapılan yeni bir araştırma , Latin Amerika finans sektörünün hâlâ belirli bir siber saldırı türünden muzdarip olduğu konusunda uyardı: fidye yazılımı . Bu, bilgileri şifreleyerek sahiplerinin erişemeyeceği hale getiren ve ardından karşılığında fidye talep eden bir tür kötü amaçlı programdır ( kötü amaçlı yazılım ). Son beş yıldır dünya çapında şirketler, devletler ve kuruluşlar için bir baş ağrısı olmuştur.

Fidye yazılımlarının bir geçmişi vardır. Kökenleri 1980'lerin sonlarına dayansa da, ancak son on yılda siber suç işi haline gelmiştir. O kadar üretkendir ki bu fidye yazılım gruplarının üyeleri, bilgileri, finansları ve hatta "teknik destek" dedikleri şeyi şifrelemeye adanmıştır: en iyi ihtimalle kurban için talep edilen miktarı düşürmek için müzakerelerin açıldığı bir sohbet. Hatta sektörde tanınmış isimlerle markalar bile oluşturmuşlardır.

2024'te LockBit ve BlackCat (ALPHV) grupları gibi birkaç büyük operasyonel kesinti yaşanmış olsa da, aktif bir tehdit olmaya devam ediyor. Medya ilgi odağından kaybolmuş olsa da, 2025'te bazıları sosyal medyada dolaşan ve diğerleri manşetlere çıkan birkaç vaka görüldü.

Ancak her krizde olduğu gibi fidye yazılımları da bir fırsattı: "Bazı açılardan fidye yazılımları bir lütuftu çünkü kullanıcıları daha iyi siber hijyen uygulamaları yapmaya zorluyordu."

Bu, Amazon'un bulut bilişim bölümü olan Amazon Web Services'ta (AWS) bulut güvenliği uzmanlarından oluşan bir ekibin lideri olan Mark Ryland . Büyük şirketlerin ve hükümetlerin operasyonları için düşünmeye başladığı bir pozisyon olan "CISO"nun yardımcısı olarak görev yapıyor: Baş Bilgi Güvenliği Görevlisi, yani bir siber güvenlik olayına yanıt veren ancak aynı zamanda erişim politikası, hesap yönetimi ve nihayetinde bir şirketin güvenliğine katkıda bulunan uygulamaları tasarlamakla sorumlu olan kişi.

Ve bir saldırıya maruz kalmanız veya karşılık vermeniz gerektiğinde fark yaratan şey tam da bu haritadır: fidye yazılımlarını önlemek için hangi önlemlerin alınması gerektiğini anlamak, bunun gerçekleştiğinde hazırlıklı olmanız gerektiğinin bilincinde olmak ve bir sistemin parola olarak "1234" seçilmesine izin vermemesini sağlamak gibi "tasarıma göre güvenlik" politikasına sahip olmak.

Ryland, tüm bunları ABD'nin Philadelphia kentinde düzenlenen AWS'nin siber güvenlik odaklı etkinliği re:Inforce'da Clarín ile konuşarak siber saldırılardaki mevcut eğilimlerle ilgili gelişmeleri anlattı.

─Teknolojik gelişmelerin bu kadar hızlı gerçekleştiği bir ortamda, bu gelişmeleri nasıl takip ediyorsunuz?

─Bence doğal bir merakınız varsa, bu sizi olup biteni biraz daha iyi anlamaya çalışmaya itiyor. Çalışmalarımın büyük bir kısmı teknik olmayan kitlelerle teknoloji hakkında konuşmak, bu yüzden fikirleri özetlemek veya basitleştirmek konusunda kendimi rahat hissetmek için kullanılan yeni araçlardan haberdar olmalıyım. Bunu söylüyorum çünkü yanıltıcı olan basitleştirmeler ve iyi olan basitleştirmeler var. Bu biraz da sanat.

─Günümüzde yapay zeka gibi trendler de fazla abartılmıyor mu?

─Gartner'ın hype döngüsü , yeni bir teknoloji çıktığında her zaman dikkate alınması gereken bir faktördür. Tüm sorunlarımıza çözüm olarak satılan herhangi bir teknolojiye karşı oldukça şüpheci olma eğilimindeyim. Aslında, biraz konudan uzaklaşıyorum ama blockchain konusunda şüpheciydim. Ülkenin bir ucundan diğer ucuna malların sevkiyatını takip etmek gibi, söyledikleri her şeyi çözeceğini hiç düşünmemiştim.

─Aslında evet, çünkü bunun için çok iyi çalışan veritabanlarımız zaten vardı. Blockchain, söylendiği gibi bir şey değildi . Kripto paralar, dijital para için iyi, ama çok daha fazlası değil. Bunun ötesindeki neredeyse tüm kullanımlar saçmalıktı ve IBM, Accenture, Gartner'ın hepsinin blockchain hakkında konuştuğunu ve şirketlere blockchain kullanarak normal bir veritabanıyla yapabilecekleri şeyleri yapmaları için danışmanlık projeleri sattığını hatırlıyorum.

─Son birkaç yıldır, fidye yazılımı siber güvenlik sektöründe bir numaralı konu oldu. Mevcut durum nedir?

─Raporlar, bir trend olarak büyümesinin durduğunu gösteriyor, ancak kesinlikle bitmiş bir konu değil . Genel his ve sayılar, en azından artmadığı yönünde.

─Fidye yazılımlarının sektöre ne öğrettiğini düşünüyorsunuz?

─Biraz tartışmalı bir şey söyleyeceğim. Bir bakıma, fidye yazılımı bir lütuftu çünkü kullanıcıları daha iyi siber hijyen uygulamaları yapmaya zorluyordu . Altta yatan sorun, gerçekte, uzun yıllar boyunca hacklenmesi kolay sistemlerle çalışmış olmamızdı; fark şu ki, daha önce, bunu paraya çevirecek bir siber suç endüstrisi yoktu. Bir saldırgan içeri girebilirdi, ancak bunu paraya çevirmenin bir yolu yoksa neden yapsınlar ki?

─Peki fidye yazılımından bu yana bir şeyin değiştiğini düşünüyor musunuz?

─Bence bu korkunç bir geçiş ayiniydi, sektörün ödemek zorunda kaldığı bir bedeldi . Bunu yaşamak acı vericiydi, ancak bence—genel olarak—şirketler temelleri iyileştirmede, iç kimlik avı testleriyle eğitim üzerinde çalışarak, çevrelerini ve güvenlik duvarlarını güçlendirerek ve daha iyi yedeklemeler yaparak daha güçlü hale geldiler. Daha fazla şirket ve devlet kurumu sorunun farkına vardı ve örneğin, kullanıcı erişimini kısıtlamaya başladı, böylece en ayrıcalıklı yöneticilerin bile bir yedeği silme izni olmayacaktı.

─Dolayısıyla paradoksal olarak sektöre olumlu bir etkisi oldu.

─Ve daha fazla farkındalık olduğunu düşünüyorum. Şirket yöneticileri de siber güvenliğin bir seçenek olmadığını anlamaya başladı. CEO'lar ve kıdemli yöneticiler kendilerine "Fidye yazılımlarıyla ne yapacağız?" diye sormaya başladı. Şirketler sistemleri düzeltme (güncelleme) ve kullanıcıları eğitme konusunda asla iyi olmadılar . Ve fidye yazılımı vakalarından sonra işler düzelmeye başladı. Garip bir şekilde olduğunu kabul ediyorum, ancak fidye yazılımlarının yarattığı krizler aynı zamanda uygulamaları ve sistemleri iyileştirme fırsatları da yarattı.

─ İki yıl önce, saldırganların kimlik avı kampanyalarını barındırmak için AWS altyapısını nasıl kullandıklarını tartışmıştık . Bu sorun nasıl gelişti ve siz bunu çözebildiniz mi?

─Bu hala bir sorun, ancak bu hesapları tespit etme ve engelleme konusunda daha iyi hale geldik. İşte tam bu noktada AI ve makine öğrenimi devreye girerek meşru ve kötü amaçlı kampanyalar arasında daha iyi ayrım yapmamıza yardımcı oluyor. Tehlike her zaman var: Bir bisiklet dükkanım olabilir ve müşterilerime en son haberler hakkında e-posta göndermek isteyebilirim, ancak hesabımın tehlikeye atılması ve platformumun spam göndermek için kötüye kullanılması olasılığı her zaman vardır.

─Sektör tarafından desteklenen bir "güvenli tasarım" felsefesi var. Bu ne anlama geliyor?

─Mevcut ortamda, yerleşik güvenlik standartlarıyla birlikte gelen teknolojiyi kullanmak, ideal olarak, en iyi seçenektir. Şöyle düşünün: Eğer ben, diyelim ki, akıllı bir tost makinesi üreten bir girişimsem, büyük ihtimalle siber güvenliğe çok fazla yatırım yapmak istemem veya yapamam. Ancak bir satıcı bana tasarımı gereği zaten güvenli olan bir çözüm verirse, onu kullanırım. Hatta bunu pazarlayabilirim: "otomatik güncellemeler", "güçlü parolalar" vb. Bu, genel güvenliği artırır; tasarımı gereği güvenli ifadesinin ifade ettiği şey budur. Bu zihniyeti benimsemek, her geçen gün hareket eden bir ekosistemde sizi her zaman bir adım önde tutacaktır.

─Daha önce blockchain'in kullanımları ve kapsamı konusunda şüpheci olduğunuzu söylemiştiniz. AI ile benzer bir şey başınıza geldi mi?

─İlk başta, evet, bana öyle geliyor ki, zaten bildiğimiz bir şeyin çok fazla "yeniden markalanması" oldu. Kesinlikle yeni bir şey getiren bir teknoloji ve uygulamalarını yeni görüyoruz; size bahsettiğim blok zinciriyle aynı durum değil. Ancak neyin yararlı neyin yararlı olmadığı arasında ayrım yapmam gerekiyor. Bu hafta Washington'da hükümet düzenleyicileriyle görüştüm ve onlara her zaman yapay zekadan bekledikleri şeyler konusunda beklentilerini biraz düşürmelerini söylüyorum. İşlerimiz üzerinde kesinlikle büyük bir etkisi olacak , ancak insanların bir çıktının yararlı olup olmadığına karar verirken yine de sağduyulu olmaları gerektiğini düşünüyorum.

─Peki, bir örnek alalım. Bir AI'dan bana bir pazarlama teklifi yazmasını istersem, ancak hayatımda hiç bu alanda çalışmadıysam, AI'nın bana verebileceği bir şey için herhangi bir kullanım alanı bulmam pek olası değildir. Ne için yararlı olduğunu yargılayamazsam, bir şeyin yararlı olup olmadığına karar verebilecek uzmanlardan mahrum kalmaya başlayabiliriz . Bunu kullanmanın bir riski var.

─Amazon'un baş güvenlik sorumlusu Stephen Schmidt, geçen hafta başka bir konferansta siber suçluların saldırılarını iyileştirmek için yapay zeka kullandığını söyledi. "Birbirlerine saldıran botlar yok," dedi . Bu doğru mu?

─Durumun iyi bir özeti, evet. Sistemleri savunanların da bundan yararlandığını, programlama, kodlarını gözden geçirme, sistem penetrasyon testleri çalıştırma ve yanıt sürelerini iyileştirme yaptıklarını da eklemek isterim. AI ayrıca halihazırda sahip olduğunuz bilgileri sıralamak için de çok faydalıdır, bu nedenle tespit etmemiş olabileceğiniz saldırı kalıplarını veya biçimlerini tespit etmenize yardımcı olur. AI semantiği yakalamada iyidir, bu nedenle yalnızca saldırganlara değil aynı zamanda sistemleri savunanlara da yardımcı olmakta çok iyidir. İyi kullanılırsa çok güçlü bir araçtır.

─Yapay zeka kötü amaçlı yazılım (virüs) analizinde iyi midir?

─Bir uzman tarafından kullanıldığı sürece, evet . Cevap bu. Ekiplerimiz bunu benzer kötü amaçlı yazılım ailelerini analiz etmek için kullanıyor; benzerlikleri ve farklılıkları anlamamıza yardımcı oluyor. Ve dürüst olmak gerekirse, iyi sonuçlar alıyorlar.

─Sektörde artık trend, analiz etmenin yanı sıra “kararlar da veren” yapay zeka olan “ temsilcilerden ” bahsetmek. Siber güvenlik bu tartışmada nasıl bir yere sahip?

─Tehdit analizinde AI kullanmanın bir sonraki adımı: harekete geçmek. Bir AI'yı analiz etmesi için programlarsam, ondan bir hatayı (sistemdeki hatayı) düzeltmesini isteyebilirim,

─Devam ediyor. Somut bir örnek, ABD Savunma İleri Araştırma Projeleri Ajansı DARPA tarafından düzenlenen bir yarışmadır. Black Hat'te resmi olarak duyurulacak ve önemli ödüller verilecek (örneğin birinciye yarım milyon dolar verilecek). Amaç, açık kaynaklı projeleri analiz edebilen, güvenlik açıklarını tespit edebilen ve bunları otomatik olarak düzeltebilen bir sistem geliştirmek. İlginç olan şey, takımlar sistemlerini gönderdikten sonra DARPA'nın yeteneklerini değerlendirmek için eğitim sırasında kullanılanlar dışındaki projelerle test etmesidir.

─Yani yoğun iş yüküne uygun.

─Kesinlikle, örneğin sıkıcı işleri planlamak, otomatik güncelleme yapmak vb. Zaman kazandırır.

─Yapay zeka gelişmelerinde hangi olumsuz veya sorunlu yanları görüyorsunuz?

─Karanlık bir tarafı var, şüphesiz. Örneğin, kimlik avı dolandırıcılıkları çok daha karmaşık hale geliyor . Dikkatimi en çok çeken olgulardan biri " domuz kesimi " olarak adlandırılan şey: saldırganların paraya veya bilgiye erişmek için güvenilir biri gibi davrandığı uzun süreli dolandırıcılıklar. Bu tür aldatmacalar endişe verici bir oranda artıyor ve elbette AI araçlarıyla destekleniyor. Bu aktörlerin çoğu Malezya veya Filipinler gibi yerlerde, neredeyse kölelik koşullarında faaliyet gösteriyor ve AI sayesinde İngilizce'de mükemmel bir şekilde iletişim kurabiliyor, hatta sahte sesleri taklit edip onları yeniden üretebiliyorlar.

─Ses klonlama ve deepfake'ler çözümü olmayan sorunlardır.

─Evet, şüphesiz, bugün patronunuzun sesine tıpatıp benzeyen, sizden para transfer etmenizi veya belirli sistemlere erişmenizi isteyen bir sesli mesaj almak mümkün. Ve eğer tüm bunlardan şüphelenmek için eğitilmemişseniz , bu dolandırıcılığa kolayca kanabilirsiniz. Bu yüzden kullanıcıların çok daha ileri düzeyde eğitim almaları çok önemlidir.

─"Şüpheli bağlantılara tıklamayın" demek yeterli değil bence. Gerekirse sanal gerçeklikte bile olsa simülasyon eğitimine ihtiyacımız var ki, insanlar bir sistemin durumunu değiştirmeyi veya para transferini içeren herhangi bir talebi her zaman başka bir kanaldan onaylamaları gerektiğini bilsinler.

─Temel siber güvenlik hijyenini korumak için ortalama bir kullanıcıya ne gibi tavsiyelerde bulunursunuz?

─Tanıdığınız birine benzeyen birinden mesaj alsanız bile -meslektaşınız, patronunuz veya anneniz olabilir- harekete geçmeden önce her zaman iki kere düşünün ve başka yerleri kontrol edin: "Kabul et"e tıklamadan önce, bir bağlantıyı açmadan önce, hatta adres defterinize yeni bir alıcı eklemeden ve "aktar"a tıklamadan önce. Her zaman tereddüt edin.