Güvenlik liderleri, çalışacak daha fazla paranın olduğu başka bir bütçe döngüsüne giriyor, ancak çoğu hâlâ kendini güvende hissetmiyor. Wiz’in yeni bir kıyaslama çalışması, yatırım ile etki arasında genişleyen bir uçurum olduğunu gösteriyor. Bütçeler artmaya devam ediyor, bulut programları genişlemeye devam ediyor ve yapay zeka hem tehditleri hem de savunmaları yeniden şekillendiriyor. Yine de CISO’lar risk azaltmanın temellerinin yeterince hızlı gelişmediğini söylüyor.
Daha büyük bütçeler güven yaratmaz
Kuruluşlar endüstriler genelinde siber güvenlik harcamalarını artırmaya devam ediyor. Bu büyümeye rağmen katılımcılar, programlarının tehdit ortamının şu anki taleplerini karşılamada yetersiz kaldığını söylüyor. Bu endişe, günlük işlere en yakın kişiler arasında en güçlü olanıdır. Mimarlar, mühendisler ve güvenlik yöneticileri, iyi finanse edilen programların hâlâ yeni saldırı tekniklerine, hızlı bulut benimsemeye ve daha geniş iş ihtiyaçlarına ayak uydurmakta zorluk çektiğini bildiriyor.
Büyük şirketler de aynı kaygıyı paylaşıyor. Daha büyük bütçelere sahip takımlar, artan maliyetler ve eklenen sorumlulukların ilerleme göstermeyi zorlaştırdığını söylüyor.
Ekipler ağır bir bulut iş yükü taşıyor
Bulut güvenliği artık güvenlik ekibinin zamanının önemli bir kısmını alıyor. Pek çok kuruluşta, personelin büyük bir kısmı her gün bulut sorunlarına odaklanıyor ve bazılarında artık ekibin yarısından fazlası bulut çalışmalarına ayrılmış durumda.
Bulut ortamları büyüdükçe ve ölçeğe ve dağıtılmış sahipliğe bağlı riskler daha belirgin hale geldikçe bu eğilimin devam etmesi bekleniyor. Bu baskılar ekipleri otomasyona doğru itiyor ve geliştirme hızlarına yetişemeyen manuel süreçlerden uzaklaşıyor.
Harcama öncelikleri bulut ve verilere doğru kayıyor
Bütçeler kategorilere göre artıyor olabilir ancak bulut ve veri güvenliği artık çoğu yatırım kararına yön veriyor. Hassas iş yükleri genel bulut hizmetlerine taşındıkça ve geliştirme hızlandıkça bu alanlar güvenlik planlamasının merkezinde yer alıyor.
Danışmanlık gibi geleneksel harcama alanları daha yavaş büyüyor. Dahili ekiplerin daha fazla sorumluluk alması ve güvenliği doğrudan mühendislik uygulamalarına entegre etmesi bekleniyor.
Araçların yaygınlaşması güvenlik ekiplerini yavaşlatıyor
Güvenlik ekipleri büyük ve çoğu zaman hantal araç setlerini yönetmeye devam ediyor. Kuruluşlar artık düzinelerce araç çalıştırıyor, bazıları ise çok daha fazlasını çalıştırıyor. Bu, operasyonları yavaşlatan, eğitim ihtiyaçlarını artıran ve ekipler arasında sürtüşmeyi artıran bir ek yük yaratır.
Bulut güvenlik yığınları da aynı modeli izler. Orta ölçekli kuruluşlar bile her biri kendi modeline ve iş akışına sahip çok çeşitli bulut güvenliği ürünleri kullanıyor.
Karmaşıklık, güçlü bulut güvenliğinin önünde büyük bir engel haline geldi. Parçalanmış araçlar, ekipleri bakım çalışmalarına ve sistemler arasında sürekli geçiş yapmaya zorlar, bu da zaman kaybına neden olur ve odaklanmayı bozar. CISO’lar, ortamın basitleştirmenin gerekli olduğu bir noktaya ulaştığını söylüyor.
Yapay zeka saldırganlar ve savunmacılar için riskleri artırıyor
Yapay zeka artık çoğu güvenlik kararını şekillendiriyor ve kuruluşlar tespit, önceliklendirme ve müdahale için yapay zeka destekli araçlara yatırım yapıyor. Saldırganlar da aynısını yapıyor; keşifleri otomatikleştirmek, sosyal mühendisliği güçlendirmek ve modelleri manipüle etmek için yapay zekayı kullanıyor.
Güvenlik liderleri aynı zamanda yapay zeka yaşam döngüsünü hedef alan saldırılara da odaklanıyor. Bunlar arasında eğitim verilerini zehirlemek, istemleri manipüle etmek ve özel bilgiler içeren modelleri çıkarmaya çalışmak yer alıyor. Çok az ekip bu risklere karşı güçlü kontrollere sahip olduğunu düşünüyor ve mevcut çerçeveler hâlâ geliştiriliyor.
Kuruluşlar, yapay zekanın bulut güvenliğini halihazırda değiştirip değiştirmediği konusunda bölünmüş durumda. Bazıları etkinin şu anda görünür olduğunu söylerken diğerleri daha büyük değişimin hala devam ettiğine inanıyor. Çoğu kişi yapay zekanın hem saldırı hem de savunma operasyonlarının merkezine yerleşmesini bekliyor.
Otomasyon ve görünürlük gelecek yılın önceliklerinin başında geliyor
Neredeyse tüm kuruluşlar önümüzdeki yıl bulut güvenliği duruşlarını güçlendirmeyi planlıyor. Otomasyon en önemli odak noktasıdır. CISO’lar daha az manuel görev ve daha az bağlantısız kontrol paneli istiyor. Özellikle bulut ortamları büyüdükçe ve merkezi gözetim olmadan işletme genelinde yeni yapay zeka hizmetleri ortaya çıktıkça görünürlük de bunu takip ediyor.
Katılımcılar ayrıca mevcut araçlardaki sınırlamaları ve daha iyi entegrasyon ve hız ihtiyacını öne sürerek bulut güvenlik yığınlarının bazı kısımlarını değiştirmeyi planlıyor.
Yönetilen hizmetler bazı ekipler için ilgi çekerken, diğerleri personelin bulut sağlayıcı araçlarına ve değişen teknolojiye ayak uydurabilmesi için eğitimleri genişletmeyi planlıyor.
Uyum harcamaları hâlâ değersiz
Uyumluluk istikrarlı bir yatırım kaynağı olmaya devam ediyor ancak CISO’lar bu gerekliliklerin her zaman riski azaltmadığını söylüyor. Bunu en çok orta ölçekli kuruluşlar hissediyor. Ağır denetim talepleriyle karşı karşıyadırlar ancak çoğu zaman işi kalıcı bir iyileştirmeye dönüştürecek personel veya araçlardan yoksundurlar.
Bazı liderler, uyumluluğu NIST gibi daha geniş çerçevelerle uyumlu hale getirerek bu sorunu ele alıyor; bu, uyumluluk çabalarının ayrı bir yol olarak işlemek yerine genel olgunluğu desteklemesini sağlamaya yardımcı oluyor.
İndirin: Kimlik Güvenliğini Güçlendirme teknik incelemesi