Günümüzün dijital savaş alanında, saldırganlar her geçen gün daha sofistike ve hızlı araçlar kullanıyor. Özellikle yapay zeka saldırıları, siber güvenlik dünyasında dengeleri değiştiriyor. Makineye karşı makine savaşının ortasında, Mandiant'ın yeni raporu önemli bir gerçeği ortaya koyuyor: En zayıf halka hala insan. Google Cloud bünyesindeki siber güvenlik firması Mandiant, kurumsal ağlara yönelik tehditleri ve korunma yollarını mercek altına aldı.
Yapay Zeka Saldırıları Hız Kesmiyor
Modern kurumsal ağlar geniş bir alana yayılıyor ve iş ortaklarıyla SaaS (hizmet olarak yazılım) üzerinden görev paylaşımı yapıyor. Kötü niyetli aktörler de bu modeli benimsiyor. Mandiant'a göre, siber suçlular "iş bölümü" yapıyor: Bir grup, kötü amaçlı reklamlar veya sahte tarayıcı güncellemeleri gibi düşük etkili yöntemlerle ağa erişim sağlıyor. Ardından, ele geçirdikleri hedefi "elleriyle" erişim sağlaması için başka bir gruba devrediyor.
Bu devir teslim süreci inanılmaz bir hızla gerçekleşiyor. 2022'de bu "devir süresi" sekiz saatten fazlaydı. Ancak 2025'te, otomasyon sayesinde, bu devirler ortalama sadece 22 saniye sonra yapılıyor. Benzer şekilde, sıfır gün (zero-day) açıklarını hedef alan saldırılarda da süreler kısalıyor. Açıkların istismar edilme süresi, satıcıların yama yayınlamasından yedi gün öncesine kadar düşüyor. Bu durum, ağ güvenliği uzmanlarını zorluyor.
Saldırganlar Kim ve Neye Odaklanıyor
Mandiant, kurumsal ağlarda "klavye başında operasyon" yürüten saldırganları iki ana gruba ayırıyor: Siber suçlular ve casusluk grupları. Siber suçlular, fidye yazılımları gibi araçlarla finansal kazanç peşinde koşuyor ve anında etki yaratmayı hedefliyor. Casusluk grupları ise uzun vadeli, gizli erişim için optimize edilmiş durumda. Bu gruplar, izlenmeyen uç cihazları ve yerel ağ işlevlerini kullanarak tespitten kaçınıyor.
Saldırının tespiti için geçen süre (dwell time) ortalama 14 gün. Ancak siber casusluk olaylarında bu süre çok daha uzun olabiliyor; ortalama 122 gün. Mandiant'ın hedef olarak belirlediği 16'dan fazla sektör arasında yüksek teknoloji sektörü (%17) ve finans sektörü (%14,6) listenin başında yer alıyor.
Yapay Zeka Henüz İkinci Planda Ama Tehlikeli
Tespit edilen saldırıların yaklaşık üçte biri doğrudan açıklardan kaynaklanıyor. İkinci en yaygın saldırı vektörü ise "etkileşimli, ses tabanlı sosyal mühendislik". Saldırganlar, çok faktörlü kimlik doğrulamayı (MFA) atlamak ve SaaS ortamlarına ilk erişimi sağlamak için IT yardım masalarını hedef alıyor.
Yapay zeka araçlarının keşif, sosyal mühendislik ve kötü amaçlı yazılım geliştirmede kullanımının artması şaşırtıcı değil. Ancak Mandiant raporu net bir vurgu yapıyor: "Bu hızlı teknolojik gelişmelere rağmen, 2025'i ihlallerin doğrudan yapay zeka kaynaklı olduğu yıl olarak görmüyoruz. Sahadaki gözlemlerimize göre, başarılı ihlallerin büyük çoğunluğu hala temel insan ve sistemik hatalardan kaynaklanıyor." Yine de yapay zeka, QUIETVAULT gibi kötü amaçlı yazılımlarla kimlik bilgilerini çalmak için kullanılıyor. Bu araç, hedef makinelerde yapay zeka komut satırı araçlarını kontrol ediyor ve yapılandırma dosyalarını, GitHub ve NPM token'larını arıyor.
Siber suçluların fidye yazılımı saldırıları da evrim geçiriyor. Artık sadece verileri şifrelemekle kalmıyor, aynı zamanda yedekleme araçlarını destekleyen sanal altyapıyı da hedef alıyorlar. Bulut depolamadaki yedekleme nesnelerini aktif olarak siliyor veya hipervizör veri depolarını şifreleyerek tüm sanal makineleri aynı anda kullanılamaz hale getiriyorlar.
İyi haber şu ki, şirketler de daha akıllı hale geliyor. 2024'te %43 olan, kötü niyetli etkinliğin kurum içinde tespit edilme oranı 2025'te %52'ye yükseldi. Bir ihlal kanıtını ne kadar erken keşfederseniz, kurtarma sürecini o kadar çabuk başlatabilirsiniz.
Ağınızı Bu Yeni Tehditlere Karşı Nasıl Güçlendirirsiniz
Saldırganlar daha karmaşık ve ısrarcı hale geldikçe, IT çalışanlarının da oyunlarını hızlandırması gerekiyor. Mandiant, modern saldırı vektörlerini tanımak için çalışanlara ve yardım masası personeline ileri düzey eğitimler verilmesini öneriyor. Ses tabanlı araçlar, mesajlaşma uygulamaları ve yetkisiz MFA sıfırlama istekleri aracılığıyla yapılan sosyal mühendislik saldırılarını tanımak kritik önem taşıyor.
İşte ağ altyapısında değişiklikler gerektiren beş savunma stratejisi:
- Sanallaştırma ve yönetim platformlarına en katı erişim kısıtlamalarıyla Tier-0 varlıkları gibi davranın.
- Kurtarma yeteneklerinin yok edilmesine karşı koymak için yedekleme ortamlarını kurumsal Active Directory etki alanından ayırın ve değişmez depolama kullanın.
- Tüm ekosistem genelinde gelişmiş tehdit tespiti dağıtın ve günlük tutma politikalarını standart 90 günlük pencerelerin çok ötesine uzatın.
- SaaS entegrasyonlarını düzenli olarak denetleyin ve tüm SaaS uygulamalarını merkezi bir kimlik sağlayıcısı (IdP) üzerinden yönlendirin.
- Anormal etkinliği ve belirlenmiş temel çizgilerden sapmaları işaretleyen davranış tabanlı tespit modelleri uygulayın.
Kimlik Yönetimi Yeni Güvenlik Çevresi
Mandiant araştırmacıları, "kimliğin yeni çevre" olduğunu belirtiyor. Sadece şifreleri değiştirmek ve MFA'yı zorunlu kılmak artık yeterli değil. Özellikle üçüncü taraf satıcılarla birlikte, kimlik kontrollerini güçlendirmeye ve sürekli kimlik doğrulamaya geçmeye odaklanmak hayati önem taşıyor.