Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Uyarlanabilir siber saldırı simülasyonu ve siber aralık ortamlarında otomatik olay müdahalesi için yapay zekâ destekli çok ajanlı çerçeve

· Dizine geri dön

Daha akıllı siber tatbikatların önemi

Her gün şirketler ve kamu kurumları dijital felaketlere hazırlık için “siber aralıklar” kullanarak tatbikat yapıyor — saldırganların ve savunucuların pratik yapabildiği güvenli, izole ağlar. Ancak bu eğitim ortamlarının birçoğu hâlâ betiklenmiş, öngörülebilir saldırı senaryolarına dayanıyor; bu senaryolar bugünün sinsi, biçim değiştiren tehditlerine pek benzemiyor. Bu makale, bu alıştırmaları çok daha gerçekçi hâle getirmenin yeni bir yolunu sunuyor: kendi kendine öğrenen yapay zekâ “ajanları” kullanmak, böylece insan stajyerler ve araçlar düşmanlarının düşünen ve uyum sağlayan davranışlarıyla mücadele etmek zorunda kalıyor.

Statik senaryolardan canlı savaş oyunlarına

Geleneksel siber aralıklar biraz önceden yazılmış bir tiyatro oyunu gibidir: eğitmenler bir saldırı betiği seçer, başlat düğmesine basar ve olayların nasıl geliştiğini izler. Bu yeni başlayanlar için faydalı olsa da, birden çok sessiz adımı birbirine bağlayan, savunmaları yoklayan ve tespit edildiğinde rotasını değiştiren modern rakiplere karşı başarısız kalır. Makalede atıf yapılan çalışmalar, simüle edilmiş saldırıların yarısından fazlasının bir makineden diğerine hareket etme veya izleme araçlarından saklanma gibi kritik taktikleri içermediğini gösteriyor. Sonuç, kâğıt üzerinde düzenli görünen fakat analistleri internetin karmaşık gerçekliği için yetersiz hazırlayan bir eğitimdir.

Dijital ajanlara saldırı ve savunmayı öğretmek

Bu boşluğu kapatmak için yazarlar çok‑ajanlı bir sistem kuruyor — paylaşılan bir sanal ağ içinde bağımsız hareket eden ve etkileşen yazılım varlıklarından oluşan küçük bir toplum. Bir tarafta ödül‑ceza geri bildirimiyle planlamayı ve hamlelerini ayarlamayı öğrenen saldırgan ajanlar var; tıpkı oyun oynayan bir YZ’nin kazanmaya çalışması gibi. Diğer tarafta, ağ trafiğindeki olağandışı desenleri izleyip kuşkulu bir bilgisayarı izole etmek veya riskli bir bağlantıyı engellemek gibi otomatik yanıtlar seçen savunma ajanları bulunuyor. Her iki ajan grubu da davranışlarının oyuncak örnekler yerine gerçek kötü amaçlı ve normal kullanımı yansıtması için büyük, gerçek dünya ağ etkinliği kümeleri üzerinde eğitiliyor.

Figure 1
Figure 1.

Test ortamını kurma ve bağlama

Ekip bu ajanları, birkaç düzine makineye sahip küçük kurulumlardan yüzlerce host içeren büyük ortamlara kadar çeşitli kurumsal tarzda ağlar oluşturabilen bulut tabanlı bir siber aralık olan CyDER 2.0 ile entegre ediyor. Eğitim öncesinde, nadir saldırıların günlük trafik tarafından boğulmaması için temel verileri dikkatle temizleyip yeniden dengeliyorlar. Saldırgan ajan derin öğrenme kullanarak zayıf makineleri tarama, birini sömürme, ayrıcalıkları yükseltme ve sonra yayılma veya veri çalma gibi çok adımlı dizileri keşfediyor; hepsini fark edilmeden yapmaya çalışıyor. Savunma ajanları ise etiketli saldırılarda ayarlanmış geleneksel bir sınıflandırıcı ile “normal”i öğrenip sapmaları işaretleyen bir otoenkoderi birleştiren tamamlayıcı iki yaklaşımı kullanıyor; bu sayede daha önce görülmemiş hileleri de tespit edebiliyorlar.

Akıllı aralığın pratikteki performansı

Araştırmacılar, YZ destekli ajanlarını sabit betikler ve davranışı gerçekten değişmeyen kural tabanlı çok‑ajanlı bir kurulum olmak üzere iki yaygın alternatifle karşılaştırıyor. Küçük, orta ve büyük test ağlarında öğrenen ajanlar saldırıları daha doğru tespit ediyor ve daha az kaçırıyor. En büyük ağdaki en zorlu karışık saldırı senaryosunda, yeni sistem tehditleri yakalamada güçlü bir denge kurarken yanlış alarmlardan kaçınıyor; oysa statik yaklaşımlar belirgin şekilde kötüleşiyor. Aynı derecede önemli olarak, otomatik tepkileri referanslara göre birkaç saniye daha hızlı tetikleniyor; hızlı ilerleyen ihlallerde bu fark zararı önemli ölçüde sınırlayabilir. Saldırgan ajanlar eğitim sırasında daha yetenekli hale gelip daha uzun, daha karmaşık saldırı zincirleri kurarken, tüm ajanların kaynak kullanımı makul sınırlar içinde kalıyor.

Figure 2
Figure 2.

Gerçek dünya hazır olma durumu için çıkarımlar

Bir ilgisiz gözünden bakıldığında, çalışma siber güvenlik tatbikatlarının kutudan çıkma egzersizlerden her iki tarafın kendi başına düşünen canlı savaş oyunlarına yükseltilebileceğini gösteriyor. Öğrenen saldırganları ve savunucuları gerçekçi uygulama ağlarına bağlayıp onlara gerçek trafik kayıtları vererek, çerçeve gerçek olaylara çok daha yakın görünen ve hissedilen senaryolar üretiyor. Testlerde bunun sonucunda daha keskin tespitler, daha hızlı reaksiyon ve sistemi bunaltmadan daha karmaşık ortamlara ölçeklenebilme yeteneği elde ediliyor. Yazarlar, böyle akıllı aralıkların güvenlik ekiplerini gelecekteki saldırılara daha iyi hazırlayabileceğini ve daha otonom dijital savunmalar için bir temel sağlayabileceğini, gelecekte yapılacak çalışmaların ise bu güçlü ajanları küçülterek daha küçük, daha az güçlü cihazlarda da çalıştırılmalarını sağlamaya odaklanacağını savunuyor.

Atıf: Agrawal, A., Nadeem, M., Al Nuaim, A. et al. Artificial intelligence driven multi agent framework for adaptive cyber attack simulation and automated incident response in cyber range environments. Sci Rep 16, 11673 (2026). https://doi.org/10.1038/s41598-026-45937-9

Anahtar kelimeler: siber aralık, uyarlanabilir siber saldırılar, çok ajanlı sistemler, YZ destekli savunma, olay müdahalesi