MITRE ATLAS — AI İçin ATT&CK

Siber güvenlik dünyasında MITRE ATT&CK çerçevesini muhtemelen duymuşsunuzdur: SOC (Güvenlik Operasyon Merkezi) analistlerinin, Kırmızı Takımların (Red Team) ve Tehdit İstihbaratı ekiplerinin konuştuğu ortak dildir. Saldırganların adımlarını 14 sütunluk bir taktik dizisiyle (Keşif → İlk Erişim → Kalıcılık → vb.) ve bu sütunların altındaki somut tekniklerle haritalandırır.

MITRE ATLAS (Adversarial Threat Landscape for AI Systems) ise tam olarak aynı mantığı ve yapıyı Yapay Zeka (AI) ve Makine Öğrenmesi (ML) sistemleri için kurar. Klasik ATT&CK ile çakışan taktikleri korurken, yapay zekaya özgü yepyeni taktik ve teknikleri de denkleme ekler.

Taktik Sütunları

Aşağıdaki tablo, ATLAS çerçevesindeki ana taktikleri (hedefleri) özetlemektedir:

Taktik (Tactic)	Anlamı ve Amacı
Reconnaissance (Keşif)	Hedef AI sisteminin analiz edilmesi: Hangi model kullanılıyor? Hangi API'ler açık? Güvenlik sınırları (guardrails) neler?
Resource Development (Kaynak Geliştirme)	Saldırganın altyapı kurması: Zehirli veri setleri oluşturma, sahte veya arka kapılı modeller hazırlama.
Initial Access (İlk Erişim)	Sisteme ilk adımın atılması: Sızdırılmış API anahtarları, zayıf kimlik doğrulama, komut (prompt) arayüzüne erişim.
ML Model Access (ML Modeline Erişim)	[AI'A ÖZGÜ] Modele sorgu atma yeteneği kazanma, kara kutu (black-box) veya beyaz kutu (white-box) erişim sağlama.
Execution (Çalıştırma)	Kötü niyetli komutların çalıştırılması veya dolaylı prompt injection ile modelin tetiklenmesi.
Persistence (Kalıcılık)	Sistemde tutunma: Modele arka kapı (backdoor) yerleştirme, kötü niyetli ince ayar (fine-tuning) yapma.
Defense Evasion (Savunma Atlatma)	Güvenlik filtrelerini (guardrail) aşma, Jailbreak teknikleri kullanma, anomali tespit sistemlerini kör etme.
Discovery (İç Keşif)	İçeride haritalandırma: Model davranışlarını analiz etme, gizli sistem komutlarını (system prompt) dışarı sızdırma.
Collection (Toplama)	Hassas verileri biriktirme: Kullanıcı sohbet geçmişleri, RAG veritabanındaki belgeler veya model davranışını kopyalama verileri.
Exfiltration (Veri Sızdırma)	Toplanan veriyi dışarı çıkarma: Eğitim verilerinin, model parametrelerinin veya damıtılmış (distilled) modelin çalınması.
Impact (Etki)	Sisteme zarar verme: Modelin yanlış kararlar almasını sağlama, şirkete finansal veya itibari zarar verme, modeli kullanılmaz hale getirme.

Kritik Fark

Tablodaki ML Model Access, klasik ATT&CK'ta olmayan, tamamen yapay zekaya özgü bir eklentidir. Klasik güvenlikte odak "uç nokta (endpoint)" iken, ATLAS'ta modelin kendisi başlı başına hedeflenen bir varlık olarak kabul edilir.

Tipik Teknik Örnekleri

Her bir taktiğin altında, o hedefe ulaşmak için kullanılan spesifik teknikler bulunur. Yapay zeka dünyasında en çok dikkat çekenlerden bazıları şunlardır:

AML.T0051 — LLM Prompt Injection: Doğrudan (Direct) veya dolaylı (Indirect) istem enjeksiyonu varyantları.
AML.T0024 — Exfiltration via ML Inference API: Modelin çıkarım (inference) API'sini manipüle ederek gizli eğitim verilerini dışarı sızdırma.
AML.T0019 — Publish Poisoned Datasets: Açık kaynak platformlara (örn. Hugging Face) içine zehir (kötü niyetli veri/kod) yerleştirilmiş veri setleri yükleme.
AML.T0029 — Denial of ML Service: Yapay zeka servisini erişilemez hale getirme (OWASP LLM04 - DoS karşılığı).
AML.T0040 — ML Model Inference API Access: Modele dışarıdan kara kutu (black-box) şeklinde sürekli sorgu atabilme erişimi.
AML.T0044 — Full ML Model Access: Açık ağırlıklı (open-weight) modellerin doğrudan parametrelerine tam erişim sağlama.

Not: AML (Adversarial Machine Learning) kodları ve ID'ler zamanla güncellenebilir, ancak çerçevenin mantıksal yapısı kalıcıdır.

ATLAS vs OWASP — Aynı Şey Değiller

Sektörde sıklıkla birbirine karıştırılsalar da, bu iki çerçeve farklı amaçlara hizmet eden, ancak birbirini tamamlayan yapılardır:

Özellik	OWASP LLM Top 10	MITRE ATLAS
Bakış Açısı	Geliştirici (Builder) / AppSec	Saldırgan (Attacker) / Red-Team
Detay Seviyesi (Granülarite)	10 geniş kategori (Kuş bakışı)	Taktik × Teknik matrisi (Mikro detay)
Ne İçin İyidir?	Güvenli tasarım (Secure-by-design) checklist'i	TTP haritalama, Red-Team raporlaması, Tehdit avı
Kim Kullanır?	Yazılım Geliştiriciler, Uygulama Güvenliği Ekipleri	SOC, Red Team, Tehdit İstihbaratı Ekipleri

Olgun bir Kurumsal Yapay Zeka Güvenliği programı her ikisini de aynı anda kullanır:

Tasarım Aşamasında: "OWASP Top 10 zafiyetlerine karşı güvenli kod yazıyor muyuz?"
Operasyon Aşamasında: "Birisi bize ATLAS taktiklerinden biriyle saldırırsa, bunu tespit edecek loglarımız ve alarmlarımız var mı?"

Pratik Kullanım Senaryoları

Bu çerçeveyi günlük güvenlik operasyonlarında nasıl kullanacaksınız? İşte 4 temel senaryo:

Threat Modeling (Tehdit Modellemesi): Sisteminizi mimari bir diyagrama dökersiniz. Ardından her bir bileşenin (Vektör DB, API, Model) ATLAS'taki hangi tekniklerin hedefi olabileceğini eşleştirirsiniz. Bu sayede "Nerede kontrol eksiğimiz var?" sorusunu yanıtlarsınız.
Red Teaming (Kırmızı Takım Operasyonları): Saldırı kampanyanızı ATLAS akışına göre planlarsınız: Keşif → İlk Erişim → İç Keşif → Veri Sızdırma. Raporunuzu yazarken attığınız her adımı bir ATLAS ID'si ile eşleştirdiğinizde, Mavi Takım (Savunma) ne demek istediğinizi tam olarak anlar ve aynı dili konuşmuş olursunuz.
Detection Engineering (Tespit Mühendisliği): SIEM sisteminize kurallar yazarken kendinize sorarsınız: "AML.T0040 (Inference API access) tekniğini loglarımda görebiliyor muyum?" veya "AML.T0024 (Eğitim verisi sızdırma) için saniyede atılan anormal prompt sayılarını tespit eden bir kuralım var mı?"
Threat Intel (Tehdit İstihbaratı): Dünyada yayımlanan yapay zeka hacklenme vakalarını okur, kullanılan yöntemleri ATLAS TTP'lerine (Taktik, Teknik, Prosedür) göre eşleştirirsiniz. Böylece kendi sektörünüze yönelik en popüler saldırı haritasını çıkarırsınız.

Nerede Daha Fazlasını Bulabilirsiniz?

atlas.mitre.org — Çerçevenin resmi ve her zaman güncel matrisi.
atlas.mitre.org/studies — Gerçek dünyada yaşanmış güvenlik ihlallerinin (incident) ATLAS TTP'leri üzerinden adım adım analizi. Burayı mutlaka inceleyin; zaten sıradaki odamız tam olarak buradaki vakaların özetidir.

Bölüm Özeti

ATLAS, MITRE ATT&CK çerçevesinin Yapay Zeka (AI) ve Makine Öğrenmesi (ML) sistemleri için uyarlanmış versiyonudur. Taktik ve teknik mantığı aynıdır.
Klasik sistemlere kıyasla en önemli eklenti: ML Model Access taktiği ve yapay zekaya özgü tekniklerdir (Prompt Injection, Model Damıtma, Veri Zehirleme vb.).
OWASP ile rakip değil, müttefiktir. OWASP bir "bunları yapmayın" güvenlik listesi sunarken; ATLAS "yapılan saldırılara karşı nasıl avlanırsınız" haritası sunar.

Sıradaki Oda: Çerçeveleri bir kenara bırakıp pratiğe dökülüyoruz. Öğrendiğimiz bu teorik yapıları Tay, Sydney, Samsung sızıntısı, DAN jailbreak'i gibi 8 gerçek dünya vakasına uygulayarak inceleyeceğiz.