NetSPI, açılış niteliğindeki 2023 Saldırgan Güvenlik Vizyon Raporu’nda uygulamalar, bulut ve ağlar genelinde güvenlik açığı eğilimlerini vurgulayan bulguları ortaya koyuyor.
Güvenlik açığı modelleri
Rapor, güvenlik ve iş liderlerinin keşif, yönetim ve iyileştirme çabalarını saldırı yüzeylerinde bulunma olasılığı en yüksek olan en riskli güvenlik açıklarına odaklamasına yardımcı olmak için geçen yılın en önemli güvenlik açığı modellerinden bazılarına geçmişe ve ileriye dönük bir bakış sunuyor.
NIST Ulusal Güvenlik Açığı Veritabanına göre, güvenlik açığı sayısı son beş yılda yıldan yıla istikrarlı bir şekilde arttı ve herhangi bir yavaşlama belirtisi göstermiyor. Bu, tükenmiş güvenlik ve geliştirme ekipleri gerçeğiyle birleştiğinde, acil bir önceliklendirme ihtiyacı yaratır.
Rapor, sağlık, perakende, finans ve imalat dahil olmak üzere çeşitli sektörlerde en yaygın güvenlik açıklarını belirlemek için 240.000 saatten fazla teste yayılan binlerce sızma testi uygulamasından elde edilen 300.000’den fazla anonimleştirilmiş bulguyu analiz etti.
Bugün saldırı güvenliği, yalnızca işletmeniz için en önemli sorunların çözümüne öncelik vermenize yardımcı olma becerisi kadar değerlidir.
Zamanında ve etkili iyileştirmenin önündeki engeller
Kaynak eksikliği, güvenlik açığı önceliklendirmesi ve iş öncelikleri, zamanında ve etkili düzeltmenin önündeki ilk üç engel olarak rapor edildi. Üçü arasındaki eğilim? Güvenlik ekipleri, ortamlarında artan sayıda güvenlik açığına öncelik vererek desteğe ihtiyaç duyar.
Güvenlik açığı önceliklendirme zorluklarının üstesinden gelmek için iş ve insan bağlamı gerekli olmaya devam ediyor, ancak ekipler yetersiz kalıyor.
Araştırmacıların buldukları:
- Ortalama olarak, en yüksek hacimli kritik ve yüksek önem dereceli güvenlik açıkları, devlet ve kar amacı gütmeyen sektörlerde keşfedildi. Aksine, sigorta en düşük hacimde kritik ve yüksek şiddette güvenlik açıklarına sahipti.
- Dahili ağlar, harici ağlara göre 3 kat daha fazla yararlanılabilir güvenlik açığına sahiptir.
- Test edilen uygulamalardan web uygulamaları, mobil ve kalın uygulamalara kıyasla daha yüksek ve kritik güvenlik açıklarına sahiptir.
- Günümüzde zamanında ve etkili iyileştirmenin önündeki en büyük iki engel, kaynak eksikliği (%70) ve önceliklendirmedir (%60).
- Ankete katılanların %71’i, bütçelenen güvenlik rollerinin dörtte birinden daha azının giriş seviyesi olduğunu paylaştı ve bunların %46’sı 2023’te giriş seviyesinde işe alım planı olmadığını bildirdi.
NetSPI CPO’su Vinay Anand, “Saldırgan Güvenlik Vizyonu Raporumuzda ortaya çıkan bir anlatı, güvenlik açığı önceliklendirmesinin kritik olduğudur” dedi.
“Gerçek şu ki, keşfedilen her güvenlik açığını düzeltemeyiz, ancak önceliklendirme ve destek eksikliği devam ederse, güvenlik endüstrisi yetersiz kalacaktır. Bu farkındalık, geliştirici ekipler arasında artan tükenmişlik oranları yaşayan sektörle birleştiğinde, bir aciliyet duygusu uyandırmalıdır. Bulgularımız, liderlerin güvenlik açığı yönetimine öncelik vermek için durumun ciddiyetini kavramasına yardımcı olabilir,” diye devam etti Anand.
NetSPI Ürün Başkanı Cody Chamberlain, “Bu rapor, sektörün güvenlik açığı yönetimini iyileştirmesini desteklemek ve etkinleştirmek için yapılacak çok şey olduğunu açıkça ortaya koyuyor” dedi.
Chamberlain, “İlk Saldırgan Güvenlik Vizyonu Raporumuzdaki gözlemlerin ve eyleme geçirilebilir önerilerin, güvenlik ekiplerinin güvenliklerini güçlendirmeleri için veriye dayalı harika bir başlangıç noktası olmasını umuyoruz.”