Cobalt, Sızma Testi Durumu Raporunda, bir yandan önemli kaynak ve personel kısıtlamalarıyla karşı karşıya kalırken, bir yandan da yapay zeka kullanımı ve ona karşı koruma sağlama konusunda denge kurmaya çalışan bir endüstriyi ortaya koyuyor.
Sızma testi, kuruluşlara kritik varlıkları, genişletilmiş ortamları ve çoğalan bulut uygulamalarını daha sık güvenlik testi yapma yeteneği kazandırarak bu zorluğun üstesinden gelmede önemli bir rol oynar.
Cobalt, 4.068 sızma testini analiz etti ve ortak güvenlik açıkları ve maruz kalma (CVE) kayıtlarındaki artışlarla paralel olarak, bir önceki yıla göre sızma testi başına bulgu sayısında %21’lik bir artış olduğunu ortaya çıkardı. Ayrıca bulgular, güvenlik açıklarını düzeltmek için gereken ortalama sürenin de önceki yıllara göre arttığını gösterdi.
Raporda, sızma testi analizine ek olarak, ABD ve Birleşik Krallık’ta 900’den fazla siber güvenlik uzmanının katıldığı bir anket de yer alıyor. bir araç ve bir tehdit ve üst düzey yöneticilerin değişime liderlik etme konusunda karşılaştığı zorluklar.
Yapay zeka fırtınasının gözündeki zorluklar
Çalışma, siber güvenlik ekiplerinin yapay zeka ile olan itme-çekme ilişkilerini vurguluyor. %86’sı ekiplerinin yapay zeka destekli araçları benimsediğini belirtirken, on katılımcıdan yedisi yapay zekadan gelen tehditlerde de artış olduğunu belirtiyor.
2023 yılı boyunca Cobalt, kullanıcı deneyimini iyileştirmek için başta yapay zeka destekli sohbet robotları içeren yazılım ürünleri olmak üzere yapay zeka sistemleri üzerinde artan sayıda sızma testleri gerçekleştirdi. Ortaya çıkarılan en yaygın güvenlik açıkları arasında anında enjeksiyon (jailbreak dahil), model hizmet reddi ve anında sızıntı (hassas bilgilerin ifşa edilmesi) yer aldı. Artan yatırıma rağmen ekiplerin %59’u hala yapay zeka tehdidinin arkasında olduklarından endişe ediyor.
Rapor, 2023’ü rahatsız eden önemli endüstri işten çıkarmaları ve belirsizlik gerçeğini ve işten çıkarmaların tehdit düzeylerinde devam eden akşamdan kalma etkisini yansıtıyor. Ankete katılanların %31’i kuruluşlarının son altı ay içinde işten çıkarmalar yaptığını söyledi ve bunların ⅓’ü kuruluşlarının bu ayrılmalar nedeniyle daha fazla siber riskle karşı karşıya olduğunu kabul ediyor.
İşten çıkarılmalardan/istifalardan etkilenenlerin %29’u şu anda işlerini bırakmak istediklerini söylediğinden, siber güvenlik ekipleri bu soruna çözüm bulunmazsa daha fazla kayıpla karşılaşacaklarını düşünüyor.
En endişe verici olanı, güçlü bir personel toparlanmasına dair hiçbir işaretin bulunmaması. Ankete katılanların neredeyse üçte biri işe alımların dondurulduğunu bildirdi ve %29’u bu yıl daha fazla işten çıkarma yapmayı bekliyor. Verilere bakıldığında Cobalt, yüksek ve kritik önemdeki bulguların genel hacminde yıldan yıla %39’luk bir artış görüyor. Bu, birçok şirketi güvenlik önlemlerini geliştirmek için ortaklıklardan ve satıcılardan nasıl yararlanacaklarını düşünmeye yöneltiyor; %59’u 2024’te sızma testini artıracaklarını kabul ediyor.
Siber güvenlikte sızma testinin önemi
Saldırılar arttıkça üst düzey yöneticiler kendilerini giderek daha fazla sorumluluk ve sorumluluk gıda zincirlerinin tepesinde buluyor. Katılımcıların bu baskıyı hissettikleri açıktır; Üst düzey yöneticilerin, sektör ortamının zihinsel sağlıklarını etkilediğini söyleme olasılığı üst düzey olmayanlara göre %31 daha fazla, fiziksel sağlıklarını etkilediğini söyleme olasılığı ise %51 daha fazla. Personeli gibi onlar da hem artan hem de ortaya çıkan tehditlere karşı yetenek eksiklikleri ve bütçe kısıtlamalarını dengeleme zorluklarından bahsediyorlar.
Ankete katılan tüm gruplar arasında yapay zekanın benimsenmesi konusunda en fazla endişe duyanlar bunlardır (üst düzey olmayan katılımcılara göre %33 daha fazla). Bu zorluklara rağmen üst düzey liderliğin siber güvenlik açısından kritik öneme sahip olduğu kanıtlandı; katılımcıların %23’ü saldırıları önlemek için üst düzey liderliğin bütçeden daha kritik olduğunu belirtiyor.
Cobalt Strateji Direktörü Caroline Wong, “Siber güvenlik ekipleri personel sıkıntısı nedeniyle zorlanırken ve yapay zekanın siber saldırıları artırma potansiyeline ilişkin endişeler artarken, proaktif bir önlem olarak sızma testinin önemi büyük önem taşıyor” dedi. “Verilerimiz, sektör olarak almamız gereken eylemleri güçlendiriyor: yetenek kazanımına öncelik vermek, gelişen tehditlere karşı korunmak için yapay zeka entegrasyonunda dikkatli olmak ve sızma testlerinden yararlanmak.”
Cobalt CEO’su Chris Manton-Jones, “Günümüzde şirketler yalnızca dijital tehditlerle karşı karşıya değil, aynı zamanda bu zorlukların yöneticilerine getirdiği kişisel zararla da karşı karşıya” dedi.
Manton-Jones sözlerini şöyle tamamladı: “Liderler olarak siber güvenliğin yalnızca dijital varlıklarımızı güvence altına almakla ilgili olmadığını, aynı zamanda kendimiz de dahil olmak üzere tüm kuruluşumuzun güvenliğini sağlamakla ilgili olduğunu anlamak çok önemli.”
Sızma testi, uygulamalar ve sistemlerdeki hem geçmiş hem de yeni ortaya çıkan güvenlik açıklarını belirlemenin güvenilir bir yolu olmaya devam ediyor ve teknoloji ve siber suçlular birbirleriyle birlikte ilerledikçe güvenlik ekiplerinin düzenli sızma testi yapma kararlılığını sürdürmesi gerekiyor.