Kobalt’a göre, kuruluşlar sömürülebilir güvenlik açıklarının yarısından daha azını düzeltirken, Genai uygulama kusurlarının sadece% 21’i çözüldü.
Büyük firmaların en pantin sorunlarını çözmek için daha uzun sürüyor
Firmaların% 94’ü Pentesting’i programları için gerekli görüyor. Bu, çirkinliğin güvence rolünü yakalar ve mağdurun savunması olmadığı için çoğu ihlalin gerçekleşmediği gerçeğini yansıtır. Aksine, savunmaları düşündükleri kadar sağlam değildi.
Ankete katılanların% 91’inin pentest yapmalarının önemli bir nedeni olarak uyumluluğu seçtiklerini öğrenmek muhtemelen sürpriz değildir. Bazılarını şaşırtabilecek olan,% 92’si Pentests’in kuruluşlarının stratejisi ve üst düzey liderliği için önemli olduğunu söylüyor.
2017 yılında, ciddi en az bulguların sadece% 27’si çözüldü. Bu oran 2021’de iki katına çıktı, ancak o zamandan beri bu seviyeye doğru ilerledi. 2024’te, 2017’de (37’ye karşı 112 gün) geri aldığı zamanın üçte birinde ciddi bulgular sabitlendi. Bu, pozlama penceresinden 75 gün tıraş oluyor!
En büyük kuruluşların ciddi bulguları çözmek için en küçük firmalardan (61’e karşı 27 gün) bir ay daha uzun sürer.
Kuruluşların dörtte üçü SLA’lar (hizmet düzeyinde anlaşma) belirleyen en pantolon bulguların iki hafta veya daha kısa sürede düzeltilmesi gerektiğini belirledi. Çok azı bu hedefi karşılıyor. Çözme (MTTR) ortalama süresi, en pentest bulguları için 67 günde duruyor. Bu, çoğu kuruluş tarafından belirlenen iki haftalık SLA’dan beş kat daha uzun.
Güvenlik liderlerinin% 81’i, çözülmediği keşfedilen ciddi bulguların% 31’i olmasına rağmen, firmalarının güvenlik duruşuna “kendinden emin”. Genel olarak, firmalar tüm Pent en pent sonuçların sadece% 48’ini iyileştiriyor, ancak bu sayı ciddi (yüksek ve kritik önem dereceli olan güvenlik açıkları) etiketli bulgular için önemli ölçüde iyileşiyor (% 69).
Genai LLM Web Uygulamalarında Güvenlik Açıkları
Organizasyonlar özellikle Genai LLM web uygulamalarında güvenlik açıkları ile mücadele ediyorlar. % 95 firma, geçen yıl bu uygulamalarda pentest yapmıştır. Bu bulgulardan, hızlı enjeksiyon, model manipülasyonu ve veri sızıntısı gibi riskler ile güvenlik açıklarının sadece% 21’i sabitlendi.
% 72’si AI saldırılarını bir numaralı endişeleri olarak sıraladı-üçüncü taraf yazılımlarla ilişkili risklerin, güvenlik açıklarından, içeriden gelen tehditleri ve ulus devlet aktörlerini kullandı. Sadece% 64’ü Genai’nin tüm güvenlik sonuçlarını ele almak için iyi donanımlı olduklarını söylüyor.
OWASP bunu anlıyor ve LLM ve Genai’nin DOS ve diğer kullanılabilirlik sorunlarını genişletmesi için Top 10’un 2025 baskısını güncelledi. Yeni kategoriye sınırsız tüketim denir ve saldırganların AI hizmetlerinin kullanım başına maliyet modelinden yararlanmak için kullanabilecekleri Cüzdan İndirimi (Dow) gibi tehditleri içerir.
Güvenlik liderleri hız için güvenliği feda etme baskısı altındaki
Hayatta kalma saati, sorunlar tanımlandıktan (0. gün) başlar ve son bulgu düzeltilene kadar (asla olmaz) işaretlemeye devam eder. Bir ay sonra bulguların yaklaşık% 85’i canlı kalır (serbest bırakılmamış). Hayatta kalma oranı bir yıllık işarette yaklaşık% 60’a düşer. Ve beş yıl sonra bile, sorunların% 45’i henüz düzeltilmedi.
Güvenlik liderlerinin% 52’si, güvenlik pahasına hızı desteklemek için baskı aldıklarını söylüyor. % 50’si, yazılım tedarikçilerinden bir güvenlik açığını tanımlayabileceklerine ve önleyebileceklerine tamamen güveniyor – müşteriler/düzenleyicilerin yazılım güvenlik güvencesi sağlamak için% 82’sinin gerekli olduğu göz önüne alındığında, özellikle endişe.
Kobalt, Gunter Ollman, “Özellikle AI benimseme hızı ve bir kuruluşun güvenlik duruşuna giren güvenlik açıkları göz önüne alındığında, düzenli pentestation hiç bu kadar önemli olmamıştı” dedi.
“Ciddi güvenlik açıklarının% 31’inin düzeltilmemesi endişesi var, ancak en azından bu firmalar sorunun farkında oluyorlar ve riski azaltmak için stratejiler geliştirebilirler. Saldırgan bir güvenlik yaklaşımı benimseyen kuruluşlar, tipik olarak fırsatçı saldırı olan siber suçlulara karşı savunmaları güçlendirmek için büyük bir adım atıyorlar. Müşterilerini işleme gereksinimlerini öne sürüyorlar”.