Saldırganların yeni bir favori oyun alanı var ve birçok güvenlik ekibinin aradığı yer değil. BugCrowd’dan gelen yeni verilere göre, web sitesi kusurları sabit olsa bile, donanım ve API’lardaki güvenlik açıkları hızla tırmanıyor. Vardiya, saldırganların işletmelerin çalışmasını sağlayan gizli sistemlerin peşinden giderek altyapıya nasıl uyum sağladığını gösteriyor.
Bu grafik, son üç yıldaki güvenlik açıklarının sayısını göstermektedir (kaynak: Bugcrowd)
“We are in a high-stakes innovation race, but with every AI advance, the security landscape becomes exponentially more complex. Attackers are exploiting this complexity, but still targeting foundational layers like hardware and APIs. No single CISO can win this race alone. To thrive, we must move beyond isolated efforts and cultivate a collective resilience of collaboration—pooling our knowledge of the hacker community to outpace emerging threats together,” said Nicholas McKenzie, Ciso, Bugcrowd.
Neden bazı güvenlik açıkları yükseliyor?
Donanım zayıflıkları, 2024’te en dik tırmanışı gördü ve bir önceki yıla kıyasla% 88’lik bir artış oldu. Birçok güvenlik araştırmacısı, daha önce görmedikleri tamamen yeni donanım güvenlik açıklarıyla karşılaştığını bildirdi.
API güvenlik açıkları da arttı ve yıllık% 10 arttı. API’lar önemli bir hedef olmaya devam ediyor çünkü uygulamaların merkezinde oturuyorlar, doğrudan iş mantığı ve hassas verileri ortaya koyuyorlar. Saldırganlar, küçük bir kusurun bile büyük bir etkiye sahip olabileceğini biliyorlar.
Birçok güvenlik programı web sitelerine odaklanarak başlar, daha sonra olgunlaştıkça diğer alanlara genişler. Takımlar kapsamlarını genişlettikçe, IoT cihazları, ağlar ve donanım sistemleri gibi daha az hedefte güvenlik açıklarını ortaya çıkarırlar. Veriler, saldırganların bu genişlemeyi yakından takip ettiğini gösteriyor.
Kırık erişim kontrolü kritik kusurlar
Bazı güvenlik açığı kategorileri büyümeleri ve etkileri için öne çıkıyor. Kırık erişim kontrolü 2024’te genel olarak% 40 arttı ve kritik, en yüksek öncelikli sorunlar için% 36 arttı. Bu tür bir kusur saldırganlar için caziptir, çünkü sömürülmesi kolaydır ve genellikle hassas verileri veya dahili sistemleri ortaya çıkarır.
Erişim kontrol sorunları, özellikle uygulamalar daha karmaşık büyüdükçe ve ekipler AI odaklı kodlama araçlarını benimsedikçe geliştiricilerin yönetmesi zordur. Hızlı salım döngüleri, güvenliğin çatlaklardan geçmesine neden olabilir, bu da kırık erişim kontrolünü kalıcı bir sorun haline getirebilir.
İyi haber şu ki, kritik API ve web sitesi güvenlik açıkları son üç yılda biraz azaldı, API’ler yaklaşık% 25 düştü ve web siteleri% 30 düştü. Bu, geliştiricilerin bu alanlarda ilerleme kaydettiklerini gösteriyor, ancak saldırganlar dikkatlerini diğer hedeflere kaydırıyor.
Hassas veri maruziyeti en büyük endişe kaynağı olmaya devam ediyor
Hassas veri maruziyeti, önemli aktivite gören başka bir alandır. Raporda, isimler, adresler ve hesap detayları gibi kişisel bilgilere bağlı kritik güvenlik açıklarında% 42’lik bir artış buldu.
Maruz kalan veriler genellikle satılmakta, kimlik avı için kullanılır veya fidye için tutulur. Bazen ihlal aylar hatta yıllarca keşfedilmez, saldırganlara hasara neden olmaları için bolca zaman verir.
Artan ödeme sinyali kayma öncelikleri
Güvenlik açıkları değiştikçe, onları bulmak için ödüller de değişir. Kritik güvenlik açıkları için ortalama ödemeler 2024’te% 32 arttı. Genel ödeme seviyeleri nispeten sabit kalırken, kuruluşlar en şiddetli sorunlar için daha fazla ve daha düşük öncelikli sorunlar için daha az ödeme yapıyor.
Bu eğilim, şirketlerin felaket ihlallerini önlemeye daha yüksek değer verdiğini göstermektedir. Daha fazla bütçeyi en büyük risklere yönlendirerek Cisos, en önemli kusurları ortaya çıkaran testi teşvik edebilir.
İndir: Edgescan 2025 Güvenlik Açığı İstatistikleri Raporu