Yaklaşık eğilimlerin başlı bir karışımının, açıklanan ortak güvenlik açıkları ve maruziyetlerinin (CVES) hacminin 2025 yılında en az 45.000 – ve hatta 50.000 kadar yüksek – vurmasına neden olması muhtemeldir.
Bu, ABD’de Kuzey Carolina’da bulunan bir güvenlik kar amacı gütmeyen kuruluş olan olay müdahale ve güvenlik ekipleri forumuna (birinci) göre, bu rakamın 2024’ten yaklaşık% 11 daha yüksek ve 2023’te neredeyse altı kat daha yüksek olduğunu söyledi. Bu, güvenlik arazisinin artan karmaşıklığının altını çizdiğini ve kuruluşların risk öncelikleri ve farklılıklarının daha fazla düşünülmesi gerektiğini söyledi.
Güvenlik açığı tahmin ekibinin ilk irtibat ve lider üyesi Eireann Leverett, “Bildirilen güvenlik açıklarının sayısı sadece artmıyor, hızlanıyor” dedi. “Güvenlik ekipleri artık reaktif olmayı göze alamaz; Tehditleri tırmanmadan önce beklemeli ve önceliklendirmelidirler. ”
İlk analistler bu dalgalanmayı bir dizi faktöre bağladılar – teknolojik gelenekleri kaydırmak, açıklama politikası değişiklikleri ve dünya çapında jeopolitik kaos.
Leverett, “CVE ekosistemindeki yeni oyuncuların bir kombinasyonu, gelişen ifşa uygulamaları, Avrupa’daki yeni açıklama mevzuatı ve hızla genişleyen bir saldırı yüzeyi bu dalgalanmayı körüklüyor” dedi.
En önemlisi, teknoloji tarafında, açık kaynaklı yazılımın (OSS) hızlı bir şekilde benimsenmesi ve güvenlik açığı keşfine yardımcı olmak için yapay zeka (AI) araçlarının kullanılması daha fazla kusur ortaya çıkıyor ve bunları tespit etmeyi kolaylaştırmaktı.
Buna ek olarak, CVE ekosistemine Linux ve PatchTack gibi yeni katkıda bulunanlar da keşif hacimleri üzerinde bir etkiye sahiptir ve güvenlik açıklarının nasıl atandığı ve rapor edildiğine dair güncellemeler – bazı fonlama zorlukları ile birleştiğinde – açıklama kalıplarını değiştirir.
Ve devlet tarafından işletilen aktörlerin-genellikle ama her zaman Çin, İran veya Rus olanlar-artan miktarda devlet destekli siber faaliyetler, daha fazla zayıflığın ortaya çıkarılmasına ve sömürülmesine yol açıyor.
Görülen CVE türleri açısından, ilk olarak bellek güvenliği güvenlik açığı hacimlerinin şu anda azaldığını, tersine, saha arası komut dosyası (XSS) güvenlik açıklarının yükseldiğini belirtti.
İleriye baktığımızda, Leverett 2026’da daha fazla büyüme beklediğini ve tahmini minimum hacim 51.300 CVVE’nin yüzeye çıkması beklendiğini söyledi.
Güvenlik Açığı Yönetimi Siber profesyoneller için büyük bir zorluk
Bunun, güvenlik açığı yönetimi en iyi uygulama konusundaki uzun vadeli zorlukları vurguladığını ve savunuculara sadece açıklamalara tepki vermek yerine bu tür şeyleri daha stratejik olarak düşünmeye çalışmalarını tavsiye ettiğini söyledi.
Bunun pratikte anlamı, güvenlik profesyonellerinin, her şeyi aynı anda her yerde yamaya çalışmak yerine, tehdit intel ve öngörücü bilgileri kullanarak en büyük sömürü riskini oluşturan güvenlik açıklarına öncelik vermesi gerektiğidir. Aynı zamanda, ekipler ve kaynaklar, yayılma çıkışını optimize etmek ve yüzey yönetimine saldırmak için uygun şekilde ölçeklendirilebilir ve ölçeklendirilmelidir. Burada planlamanın anahtar olduğunu, dedi Leverett ve liderler, gerekli kesinti süresi de dahil olmak üzere yamayı “çabayı” önceden tahmin etmenin yollarını bulmaya çalışmalı.
Ayrıca, açıklama eğilimlerini değiştirmeye hazırlanmak, raporlarda dalgalanmaları öngörmeye çalışmak da iyi bir fikir olabilir – bu, Microsoft’un Salı günü yaması etrafında kolayca yapılabilir, ancak genel olarak daha zorlayıcı olabilir – ve buna dayalı kaynakları tahsis etmek.
Leverett, bir dizi güvenlik açığının organizasyona nasıl vurabileceğini ve güvenlik ekibinin çalışmalarını nasıl etkileyebileceğini, Citrix Bleed veya Log4shell gibi bir sonraki Black Swan güvenlik açığını sürekli olarak nasıl etkileyebileceğini söyledi.
“Sayıları anlamak bir şeydir, üzerlerinde hareket etmek gerçekten önemlidir” dedi. “Bu verileri güvenlik planlamalarına rehberlik etmek için kullanan kuruluşlar maruz kalmayı azaltabilir, riski azaltabilir ve saldırganların önünde kalabilir.”