Siber güvenlik tehditleri daha karmaşık büyüyor ve bu değişimin merkezindedir. CSC’nin CISO Outlook 2025 raporu, 300 güvenlik liderinin bir anketine dayanarak, kuruluşlar hem yerleşik hem de ortaya çıkan tehditlerle yüzleştikçe artan bir aciliyet duygusu ortaya koyuyor.
Katılımcıların yüzde 70’i 2025’te siber tehditlerde bir artış bekliyor ve yüzde 98’i önümüzdeki üç yıl içinde risklerin artmaya devam edeceğine inanıyor. Cybersquatting, DNS kaçırma ve alt alan devralmaları gibi alan ile ilgili tehditler artık en önemli endişeler arasındadır.
Etki alanı tehditleri büyüyor ve durması zor
CSC’nin dijital marka hizmetlerinden CTO, “DNS ve alan ile ilgili altyapı, maruz kalan sistemlerden yararlanmak için DNS kaçırma veya alan taklit etme gibi belirli tehdit vektörlerini kullanan siber suçlular için yumuşak hedeflerdir” dedi. “Zaten bu saldırıların yüksek hacimlerini görüyoruz ve daha fazla hazır araçlar ve saldırı kitleri yaygın olarak kullanılabilir hale geldikçe 2025’te büyük ölçüde büyümelerini bekliyoruz.”
Bu tehditlerin çoğu şimdi AI tarafından desteklenmektedir. Ankete katılanların yaklaşık yüzde 90’ı AI ile güçlendirilen DGA’ların (etki alanı üretim algoritmaları) bir tehdit oluşturduğunu söyledi. Bunlar, kimlik avı, sahtecilik veya sahtekarlık için sonsuz sahte alan kombinasyonları oluşturmak için kullanılabilir.
Shraim, “Yapay zeka ile inşa edilmiş, kötü aktörlerin finansal hizmetler gibi belirli sektörlere karşı hedeflenen kampanyalar başlatmasını sağlayan çeşitli platformlar var” dedi. “Bu kitler kapsamlı olacak şekilde tasarlandı, saldırıları daha ikna edici hale getiriyor. Gördüğümüz yanlış yazılar ve zayıf dilbilgisi büyük ölçüde gitti, çünkü AI son derece doğru, cilalı mesajlar üretebilir.”
Bu arada, geleneksel tehditler gitmedi. Fidye yazılımı, DDOS saldırıları ve sosyal mühendislik, cisos ve güvenlik ekiplerine baskı yapmaya devam ediyor. CSC Ciso Mark Eggleston, “Gördüğümüz şey, fidye yazılımı gibi saldırıların tek başına gerçekleşmediği ve kötü aktörlerin daha sonra hibrid veya harmanlanmış saldırılarda bilgi çalmaya devam edebileceği, bu da gerçekten yıkıcı olabileceği” dedi.
Güvenlik geride kalıyor ve bütçeler sıkı
Bir zorluk, birçok kuruluşun hala alan ve DNS korumasını temel siber güvenliğin bir parçası olarak görmemesidir. CSC EMEA Hesap Yönetimi Başkan Yardımcısı Nina Hrichak, “Birçok şirket hala alan adlarına tamamen bir ticari marka bütçe hattı olarak bakıyor ve bu düşüncenin güvenliğe geçmesi gerekiyor” dedi. “CISO’ların dijital varlıkların nasıl yönetildiğine dair görünürlükten yoksun olduğu ve sorumluluğun güvenliğe daha az odaklanan biriyle oturduğu şirketlerde, kayıt defteri kilitleri gibi eleştirel, uygun maliyetli önlemler gözden kaçabilir.”
Artan riske rağmen, katılımcıların sadece yüzde 7’si, şirketlerinin alan saldırılarını azaltma yeteneklerinde “çok kendinden emin” olduklarını söyledi. Çoğu, şirket içi araçların ve sınırlı dış kaynak kullanımı olan bir patchwork’e güvenir. Neredeyse hepsi veya yüzde 99’u, kayıt şirketlerinin müşterinizi bilin (KYC) protokollerini takip etmediğinden endişe duyuyor ve potansiyel olarak onları sahtekarlığa maruz bırakıyor.
Yapay zeka kullanımı da iç riskleri artırmaktadır. En önemli endişeler, Shadow AI, çalışanlar veya satıcılar tarafından ChatGPT gibi üretken AI araçlarının onaylanmamış kullanımıdır. Bu araçlar, hassas şirketin veya müşteri bilgilerinin kasıtsız olarak paylaşılmasına yol açabilir.
“Gölge AI sorununun cevabı,” dedi Eggleston, “bir kuruluşta kullanılan tüm LLM’leri izleyen yazılım temsilcilerini kullanmaktır. Bu, AI araçlarından kimin yüklediğini ve indirdiğini görebildiğimiz anlamına gelir ve çok riskli olanları engelleyebiliriz. Daha sonra, sıfır güven çerçevesini uygulayabiliriz, kullanıcıları doğrulamak ve kontrolü zorlamak için, herkesin AI yönetim politikasını takip etmesini sağlamak.
Ortaya çıkan yeni zorluklar olsa bile, birçok CISO ihtiyaç duydukları kaynakları güvence altına almak için mücadele ediyor. Sadece yüzde 7’si, tehdit seviyeleri artmaya devam etse bile, siber güvenlik bütçelerinin yıldan önemli ölçüde arttığını söyledi.
CSC Teknoloji, Güvenlik Ürünleri ve Hizmetler Kıdemli Direktörü Mark Flegg, “Sorun, siber güvenlik harcamalarından parlak bir yatırım getirisi olmaması” dedi. “Bu sigorta satın almak gibi. Herkes bunun için ödeme yapmaktan nefret ediyor, ancak bir iddia yapma zamanı geldiğinde, bu politika dilimlenmiş ekmekten bu yana en iyi şey.”
Flegg, “Her zaman yıldan yıla daha yüksek bir bütçe planlamanız gerekiyor. Zaten yönettiğiniz tehditler sadece kaybolmuyor, bu yüzden hala bunlar için finansmana ihtiyacınız var, artı ortaya çıkan yeni bir şeye ihtiyacınız var. CISO’lar, çekilişleri kaleye çekerek çok fazla zaman harcadı. Şimdi insanların hendeklerin altında tünel inşa ettiklerini buluyorlar.
Strateji ve güvenilir ortaklarla boşlukların kapanması
Düzenleme başka bir basınç katmanı ekler. Ankete katılanların sadece yüzde 9’u AB’nin NIS2 direktifine tamamen uyumlu olduklarını söyledi. Hrichak, “Bizim görüşüne göre, NIS2’nin bir numara nedeni, şu anda başa çıkmak için en kritik olanıdır” dedi. “Herkesin bir şeyler yapmaları gerektiğini bildiği GDPR ile yaptığımız gibi benzer süreçlerden geçiyoruz, ancak nereden başlayacağından tam olarak emin değiller.”
Çevik kalmaya gelince, Hrichak bir dış kaynak stratejisi önerir. “Bu, sağlayıcıları değil, doğru sağlayıcıyı seçmeyi içerir, çünkü birçok farklı temas noktasına sahip olmak risk getirebilir. Kuruluşlar, bir şey yanıyorsa, kime ulaşacaklarını ve özellikle yoğun bir durumda 10 farklı sağlayıcıya sahip olmadıklarından emin olmak için stratejilerini kolaylaştırmalıdır.”