HackerOne’a göre güvenlik araştırmacılarının %10’u artık yapay zeka teknolojisinde uzmanlaşıyor; güvenlik liderlerinin %48’i yapay zekayı kuruluşları için en büyük risklerden biri olarak görüyor.
HackerOne’ın raporu araştırmacı topluluğunun, müşterilerin ve güvenlik liderlerinin bakış açılarını birleştiriyor. Güvenlik odaklı kuruluşların, derinlemesine savunma stratejisi için insan uzmanlığını teknoloji ve yapay zeka ile nasıl entegre ettiğini araştırıyor.
Yapay zeka bir tehdit ve bir fırsattır
Güvenlik profesyonellerinin %67’si, yapay zeka uygulamalarının harici ve tarafsız bir incelemesinin genel olarak yapay zeka emniyet ve güvenlik risklerini azaltmanın en etkili yolu olduğunu söyledi.
HackerOne platformunun kapsamındaki AI varlıklarında %171 artış oldu ve tüm AI güvenlik açıklarının %55’inin AI güvenlik sorunları olduğu bildirildi. Yapay zeka güvenlik sorunlarının geçerli raporlamaya giriş engeli genellikle daha düşüktür ve geleneksel güvenlik açıklarıyla karşılaştırıldığında farklı bir risk profili sunar.
Yapay zeka güvenlik raporlarına giriş engellerinin azalması, bu raporlara yönelik ödüllerin biraz daha düşük olduğu anlamına geliyor; ortalama ödeme yapay zeka güvenlik programları için 689 dolar iken 401 dolar. Yapay zeka güvenlik açıkları şu anda sınırlı sayıda programın kapsamında olsa da raporların hacmi oldukça yüksek ve bu da yapay zeka güvenliğini rapor edilen ilk beş güvenlik açığından biri haline getiriyor.
Katılımcıların %64’ü GenAI’nin kuruluşları üzerinde büyük bir etkiye sahip olacağına inanırken, %62’si GenAI’nin kullanımını güvence altına alma yeteneklerinden emin. Ayrıca %70’i yapay zeka mevzuatının emniyet ve güvenliği artırmaya yardımcı olacağına inanıyor.
Ancak %51’i yapay zekaya bağlı itibar risklerinden endişe duyuyor ve diğer %51’i ise GenAI’yi uygulama telaşında temel güvenlik uygulamalarının gözden kaçırıldığını vurguluyor.
Yapay zeka ve otomasyon, ihlallerin daha hızlı tespit edilmesine ve kontrol altına alınmasına yardımcı olarak kuruluşlara ihlal başına ortalama 2,2 milyon ABD doları tasarruf sağlayan güçlü verimlilik araçlarıdır ve genel etkiyi azaltır. Yapay zeka ve otomasyona sahip olmayan şirketler daha uzun yanıt süreleri ve daha yüksek ihlal maliyetleriyle karşı karşıya kalıyor.
Kripto ödülleri çıtayı yükseltmeye devam ediyor
Sızma testleri ve hata ödülleri de bu sorunları belirleyen en önemli görevler olmaya devam ediyor. Sızma testleri, yanlış yapılandırmalar gibi daha sistemik veya mimari güvenlik açıklarını ortaya çıkarır. Hata ödülü için, güvenlik araştırmacıları gerçek dünyadaki saldırı vektörlerine, kullanıcı düzeyindeki sorunlara ve iş mantığı kusurlarına odaklanır; XSS en sık keşfedilen zayıflıktır.
Çevrimiçi hizmetler, perakende satış ve e-ticaret gibi güvenlik açısından olgun ve teknoloji odaklı endüstriler, daha geleneksel endüstrilerin aksine yaygın güvenlik açıklarını etkin bir şekilde azaltıyor. Web3 şirketleri ayrıca XSS için sektör ortalamasından %65 daha az rapora sahiptir.
Kripto ve blockchain kuruluşları, güvenlik açıkları için ortalamanın oldukça üzerinde ödeme yapmaya devam ediyor ve yüzde 95’lik dilimdeki ödüller 1 milyon dolara ulaşıyor. İnternet ve çevrimiçi hizmetler, perakende ve e-ticaret ve bilgisayar yazılımı, bir sonraki en yüksek ortalama ödemeleri sunuyor.
Güvenlik araştırmacıları becerilerini geliştirmeye daha fazla zaman ayırdıkça, güvenlik araştırmacıları topluluğunun büyük bir kısmı tam zamanlı kariyerin esnekliğini seçiyor. 2023’te %24 olan bu oran artık %30’a yükseldi ve önceki yıl %35’e kıyasla %44’ü haftada 20 saatten fazla bilgisayar korsanlığı harcıyor.
Güvenlik araştırmacıları çoğunlukla gelir potansiyellerini artırmak için hacklerken (%77), yeni beceriler öğrenme ve yeteneklerini geliştirme fırsatı pek çok kişiyi (%64) motive ediyor.
Kuruluşlar artık topluluğa daha geniş bir ürün ve teknoloji yelpazesini test etme çağrısında bulunuyor. Araştırmacıların %56’sı API’ler konusunda da uzmanlaşırken neredeyse %10’u artık yapay zeka ve büyük dil modellerine (LLM) odaklanıyor.
HackerOne CISO’su ve Bilgisayar Korsanlığı Direktörü Chris Evans, “En karmaşık otomasyon bile insan zekasının yaratıcılığıyla boy ölçüşemez” dedi. “2024 Hacker Destekli Güvenlik Raporu, yapay zeka ve diğer gelişen teknolojilerin yarattığı benzersiz zorlukların üstesinden gelmede insan uzmanlığının ne kadar önemli olduğunu kanıtlıyor. Rapor aynı zamanda kuruluşlar ve güvenlik araştırmacıları arasında verimli ilişkiler kurma konusunda da rehberlik sağlıyor, böylece en yeni ve yakalanması zor güvenlik açıkları etkili bir şekilde bulunup düzeltilebiliyor.”