Takvim 2025’e dönerken, siber güvenlik uzmanları bir önceki yıla ait Ortak Güvenlik Açıkları ve Etkilenmeler (CVE’ler) ile ilgili temel eğilimleri değerlendirerek hızla gelişen bir tehdit ortamına ilişkin içgörüleri ortaya çıkarıyor.
2024’ün CVE verilerinin ayrıntılı bir incelemesi, güvenlik açıklarının doğasında, ciddiyetinde ve hacminde dikkate değer değişiklikler olduğunu ortaya koyuyor ve siber güvenlik topluluğu içinde ortaya çıkan zorluklar ve fırsatlar hakkında tartışmalara yol açıyor.
Azalan Önem: Daha Hafif Güvenlik Açıklarına Doğru Bir Geçiş
2024 yılının en önemli bulgularından biri ortalama CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) v3.1 şiddet puanlarındaki düşüş oldu. Yıllardır ilk kez ortanca ve ortalama puanlar düştü Yüksek ile Orta.
2023 ile karşılaştırıldığında ortalama CVSS puanı 7,09’dan 6,9’a düşerken, medyan 7,2’den 6,5’e düşerek %9,7’lik bir düşüş gösterdi.
Bu düşüş, son birkaç yılda gözlemlenen CVSS puanlarındaki düşüş eğilimiyle paralellik gösteriyor ve yazılımın daha güvenli hale gelip gelmediği veya güvenlik açıklarının farklı şekilde değerlendirilip değerlendirilmediği konusunda soruları gündeme getiriyor.
Alternatif veri kümeleri (CVEDetails.com gibi) analiz edildiğinde hikaye tutarlıydı.
Verileri, ortalama puanlarda 2023’te 7,7’den 2024’te 7,1’e daha da keskin bir düşüş olduğunu ortaya koydu. Bu, 2016’da CNA (CVE Adlandırma Otoritesi) sistemlerinin piyasaya sürülmesinden bu yana en büyük yıllık düşüşe işaret ediyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Kritik ve Yüksek Ciddiyetteki Güvenlik Açıkları Azalır
“Yüksek önemdeki ve kritik güvenlik açıklarının sayısı da 2024’te göreceli bir düşüş gördü. Kritik CVE’ler için bu oran %15,7’den (2023) %13,7’ye (2024) düşerken, yüksek önemdeki CVE’ler %37,1’den %33,5’e düştü. NVD’ye (Ulusal Güvenlik Açığı Veritabanı) göre.”
Bu kategorilerde yıldan yıla %5’lik bir düşüş bildiren CVEDetails.com’un verilerinde de benzer modeller gözlemlendi.
Bu eğilim, keşfedilen güvenlik açıklarının türlerinde olası bir değişikliği ve daha az yıkıcı güvenlik kusurunun tespit edildiğini gösteriyor.
Ayrılmış CVE’ler ve Sektöre Etkileri
Bir diğer ilgi çekici trend, “ayrılmış” CVE’lerin (tanımlanan ancak henüz yayınlanmayan veya çözülmeyen güvenlik açıkları) toplam sayısında geçen yıla göre %7’lik bir düşüş oldu. Tarihsel olarak bu tür düşüşler, ekonomik belirsizlik veya sektördeki aksaklıkların yaşandığı dönemlerle aynı zamana denk geliyordu.
Vulnerability.blog raporuna göre, siber güvenlik topluluğundaki spekülasyonlar, 2023 ve 2024’teki yaygın teknik işten çıkarmaların bu gerilemeye katkıda bulunmuş olabileceğini, çünkü daha az geliştirici ve güvenlik araştırmacısının daha az güvenlik açığı keşfi anlamına gelebileceğini öne sürüyor.
Öte yandan bazı profesyoneller, bunun yazılım geliştirme uygulamalarındaki gelişmelere veya üretken yapay zeka gibi yeni ortaya çıkan teknolojilere odaklanmanın bir göstergesi olabileceğini savunuyor.
WordPress: Artan Hacimde Bir Örnek Olay İncelemesi
Genel şiddet eğilimleri düşerken, WordPress ve ilgili eklentileri CVE hacminde tarihi bir artış gördü. 2024 yılında Wordfence, WPScan ve PatchStack gibi CNA’lar, çoğu kritik olarak sınıflandırılan WordPress uzantılarıyla bağlantılı güvenlik açıklarında büyük bir artış olduğunu bildirdi. Örneğin:
- Kelime çiti 2023’te 948 CVE’den 2024’te 3.322’ye sıçradığını bildirdi.
- PatchStack yıldan yıla 2.644’ten 3.918 CVE’ye artış olduğunu belgeledi.
Çok sayıda olmasına rağmen, kritik güvenlik açıklarının oranı bazı durumlarda nispeten sabit kaldı veya azaldı; bu da WordPress güvenliğinin geliştiğini gösteriyor.
Pek çok uzman bunu, platformun büyüyen olgunluğunun ve geliştirme topluluğunun güvenlik sorunlarını önleyici bir şekilde ele alma yönündeki proaktif çabalarının bir kanıtı olarak görüyor.
Yapay Zeka ile İlgili Güvenlik Açıkları: Yeni Bir Sınır
2024’te öne çıkan bir diğer tema ise üretken yapay zeka ve büyük dil modellerindeki (LLM’ler) güvenlik açıkları etrafında artan tartışmaydı.
Yapay zeka ile ilgili CVE’lerin tam sayısı henüz net bir tanım kazanmamış olsa da, CVE.org da dahil olmak üzere sektör liderleri, yapay zeka açıklarının açık bir şekilde sınıflandırılması ihtiyacını kabul etti.
Yapay zeka kritik sistemlere giderek daha fazla entegre hale geldikçe, bu teknolojilere CVE’lerin tanımlanması ve atanmasına yönelik net yönergeler oluşturmak 2025 ve sonrasında önemli bir odak noktası olacaktır.
2024’te gözlemlenen eğilimler, siber güvenlik ortamında incelikli bir değişime işaret ediyor. Güvenlik açıklarının ciddiyeti azalıyor gibi görünse de yapay zeka ve WordPress ekosistemleri gibi sistemlerin artan karmaşıklığı yeni zorluklar ortaya çıkarıyor.
Bu eğilimler daha güvenli yazılım geliştirmenin bir işareti mi, yoksa hem araştırmacıların hem de saldırganların odak alanlarının değiştiğinin göstergesi mi? Siber güvenlik topluluğu bu içgörüler üzerinde düşünürken şu sorular ortaya çıkıyor: Gelişen teknolojiler, güvenlik açıklarının geleceğini şekillendirmede nasıl bir rol oynayacak ve endüstri hızla değişen tehdit ortamına nasıl uyum sağlayacak?
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin