Güvenlik satıcıları görünüşte devrim niteliğindeki yeni ürünlerle sürekli olarak birbirlerini geride bırakıyorlar. Gerçekçi vaatler, korku tellallığı ve yılan yağı arasında ayrım yapmak zordur. Güvenlik teknolojisinin durumuna daha yakından bakmak istiyorsanız, Dünya Çapında Açık Uygulama Güvenliği Projesi'nin (OWASP) Almanca baskısı gibi satıcıdan bağımsız bir konferansta kendinizi bilgilendirmelisiniz. OWASP Günü'nün Alman organizasyon ekibinin üyeleri ve OWASP Almanca Bölümü'nün yönetim kurulu üyeleri olan Jasmin Mair ve Christian Dresen ile konuştuk. Jasmin aynı zamanda OWASP Chapter Frankfurt'un bölüm lideridir.
Duyurudan sonra devamını okuyun
Birçok güvenlik konferansı ve etkinliği var. Peki şu anda sektörde hangi konu çok fazla ilgi görüyor ve neden?
Açıkçası: uygulama güvenliğinde yapay zeka. Ancak artık geleceğe dair bir vizyon olarak değil, somut, işleyen bir gerçeklik olarak. Yapay zeka artık geliştiricilerin ve güvenlik uzmanlarının büyük ilgisini çeken bir konu değil; teknoloji zaten günlük olarak kullanılıyor. Almanya'daki OWASP Günü 2025'te konuya bu kadar çok yer ayırmamızın nedeni tam da budur: Sektör şu anda yapay zeka araçlarının her iki tarafça da (savunanlar ve saldırganlar) kullanılmasının ne anlama geldiğiyle boğuşuyor. Açılış konuşmacımız Eva Wolfangel'in, yazılım geliştirmede bu yeni döneme girerken yaşadığımız belirsizliği yansıtan provokatif bir terim olan “Kod Karanlık Çağı”ndan bahsetmesi boşuna değil.
Spesifik olarak: güvenlik sektöründe yapay zeka araçlarının kullanımı şu anda nasıl görünüyor?
Yapay zeka güvenliğinin “Kırıcı” ve “İnşaatçı” olarak adlandırdığımız iki tarafını görüyoruz: Bir tarafta “İnşaatçı Yapay Zeka” var. Bunlar arasında, örneğin geliştiricilerin daha hızlı kod yazmak için her gün kullandığı kodlama asistanları yer alır. Diğer tarafta ise “Breaker AI”, yani otomatik saldırılar, karmaşık kimlik avı kampanyaları ve güvenlik açığı taramaları için kullanılan büyük dil modelleri var. Alman OWASP Günü 2025'te her iki tarafa da ışık tutacağız: Bir konferansta YuraScanner'ın görev kontrollü web uygulaması taramaları için LLM'yi nasıl kullandığı gösterilecek. Bir diğeri, yapay zeka araçları tarafından oluşturulan kodun gerçekte ne kadar güvenli olduğuna dair rahatsız edici soruyu soruyor. Ayrıca yapay zeka aracıları ve Model Bağlam Protokolü (MCP) gibi kendi güvenlik zorluklarını da beraberinde getiren yeni olgular da var.
Elbette yapay zeka araçları yalnızca sektör uzmanları tarafından kullanılmıyor. Yapay zekanın az ya da çok görünür reklamından dolayı başka hangi güvenlik sorunları var?
Zorluklar kodlamanın çok ötesine geçiyor. Şirketler genellikle yapay zeka araçlarını güvenlik sonuçlarını anladığından daha hızlı bir şekilde entegre ediyor. “Bir CISO'nun Yapay Zeka Harikalar Diyarındaki Maceraları” konuşmasında CISO Holger Mack, katılımcıları bu ormanda bir keşif turuna çıkarıyor: Saldırganlar büyük dil modellerini nasıl manipüle edebilir? Yapay zeka destekli otomasyon hangi yeni saldırı yollarını açıyor? Programımızdan somut bir örnek: “Y Combinator şirketlerinin AI temsilcilerini nasıl hackledik” konferansı, bazı AI ajanlarının pratikte ne kadar savunmasız olduğunu gösteriyor. Ve harici araçları Model Bağlam Protokolü aracılığıyla Yüksek Lisans'lara güvenli bir şekilde entegre etmek hiç de önemsiz bir şey değildir – başka bir konferansın başlığının uygun bir şekilde tanımladığı gibi gerçek bir “güvenlik patatesi”.
Duyurudan sonra devamını okuyun
Saldırganlar ayrıca yeni teknolojik trendlerden de anında yararlanırlar. Burada hangi tehlikeler ortaya çıkıyor ve bunun yapay zeka düzenlemeleriyle nasıl bir ilişkisi var?
Sektörün şu anda faaliyet gösterdiği gerilim tam olarak budur: Bir yandan saldırganların, otomatik güvenlik açığı taramalarından, büyük dil modellerini manipüle etmeyi amaçlayan kimlik avı kampanyalarına kadar giderek daha karmaşık hale gelen saldırılar için yapay zekayı nasıl kullandıklarını görüyoruz. Öte yandan, Almanya OWASP Günü sırasında ayrı bir çalıştay ayıracağımız Siber Dayanıklılık Yasası gibi düzenleyici baskılar da var. İşin gerçeği: Saldırganlar yeni teknolojilerden yararlanma konusunda çevik olsa da şirketlerin aynı anda uyumluluk gereksinimlerini karşılaması ve pratik güvenliği sağlaması gerekiyor. Bunun için teorik incelemeler değil, pratik ve somut çözümler gerekir. Bu tam olarak 20 yılı aşkın süredir OWASP'ta sunduğumuz şeydir. Alman OWASP Günü'nde teknik içgörülerden CISO'ların stratejik içgörülerine kadar bu farklı perspektifleri bir araya getiriyoruz.
Yapay zekanın sunduğu fırsatlara daha yakından bakalım: Güvenlikte yapay zeka araçlarının kullanımıyla halihazırda önemli ölçüde daha iyi, daha verimli veya daha hassas hale gelen neler var?
Yapay zeka, güvenlik ekiplerinin üzerindeki yükü hafifletme potansiyeline sahip ve bu, bugünden açıkça görülüyor. Günlük analizi, güvenlik açığı taramaları veya kod incelemeleri gibi rutin görevler, yapay zeka destekli araçlar kullanılarak hızlandırılabilir. Büyük dil modelleri, büyük miktarda verideki insanların kolayca gözden kaçırabileceği kalıpları tanımlamaya yardımcı olur. Sonuç olarak, tehditler genellikle daha erken fark edilir ve yanıt süreleri kısalır.
Yazılım geliştirmede de daha fazla güvenlik elde edilir: Kodlama asistanları yalnızca daha hızlı kod önermekle kalmaz, aynı zamanda uygun şekilde eğitilip denetlendikleri takdirde daha güvenli uygulamalara da işaret edebilirler. Dahası, deneyimler kod incelemelerinin iyi çalıştığını göstermiştir: sonuçlar mükemmel değildir, ancak genellikle bir geliştirme ekibinin bu tür incelemeleri aynı anda yönetebileceğinden önemli ölçüde daha iyidirler.
Kilit nokta şudur: Yapay zeka, doğru kullanıldığında verimlilik ve hassasiyet sağlar. Alman OWASP Günü'nün kalbinde yer alan tam da bu “eğer”dir. Yapay zekayı güvenlik stratejinize sorumlu bir şekilde entegre etmek için yeni riskleri göz ardı etmeden fırsatlardan nasıl yararlanabileceğinizi göstermek istiyoruz.
Etkinliğinizle ilgili son bir soru: Açıkça tedarikçiden bağımsız bir konferansta hangi içerik zorlukları var?
Alman OWASP Günü'nün üreticiden bağımsız olması nedeniyle odak noktamız pazarlama değil bilgi alışverişidir. Ancak bu aynı zamanda şu anlama da geliyor: Konuları topluluğa gerçek katma değer sağlayacak ve yalnızca tek bir ürün veya araca odaklanmayacak şekilde seçmeliyiz.
Bu, yapay zeka zamanlarında özel bir zorluktur, çünkü günümüzde piyasadaki birçok sunum büyük ölçüde satıcılardan etkilenmektedir. Kuralımız şudur: ürün sunumu yok, sponsorlu konuşma yok. Bunun yerine açık araçlar, anlaşılır yöntemler ve gerçek vaka çalışmaları ile güvenliğin pratikte nasıl çalıştığını şeffaf bir şekilde gösteren makalelere odaklanıyoruz.
Bu bağımsızlık daha fazla planlama gerektirir ancak güven oluşturur. Sonuçta OWASP'ın 20 yılı aşkın süredir geliştiricilerden CISO'lara kadar tüm güvenlik topluluğu için güvenilir bir platform olarak görülmesinin nedeni budur.
Jasmin ve Christian, yanıtlarınız için çok teşekkür ederim! İlgilenenler Alman OWASP Günü 2025 web sitesinde daha fazla bilgi bulabilirler.
(fo)
Bir yanıt yazın