Yalnızca yazılım ve teknoloji şirketlerinin kitle kaynaklı güvenlikten yararlandığına dair bir yanlış kanı var. Ancak veriler bu inanışla çelişiyor. Bugcrowd’un bildirdiğine göre, çeşitli sektörlerdeki şirketler giderek daha fazla kitle kaynaklı güvenliği benimsiyor.
Kamu sektörü sektörü, 2022’ye kıyasla 2023’te kitle kaynaklı güvenlik açısından en hızlı büyümeyi gördü; güvenlik açığı bildirimlerinde %151’lik bir artış ve kritik güvenlik açıklarının bulunmasına yönelik Öncelik 1 (veya P1) ödüllerinde %58’lik bir artış görüldü. Başvurularda büyük artış kaydeden diğer sektörler arasında perakende (+%34), kurumsal hizmetler (+%20) ve bilgisayar yazılımı (+%12) yer aldı.
Kurumsal saldırıları güçlendirmek için rakip yapay zeka
Geçtiğimiz yıl, hacker topluluğu, 2022’ye kıyasla Bugcrowd platformunda oluşturulan Web gönderimlerinde %30, API gönderimlerinde %18, Android gönderimlerinde %21 ve iOS gönderimlerinde %17 artış kaydetti.
Bugcrowd’un CISO’su Nick McKenzie, “Bu rapor, risk profillerini desteklemek için yeni bilgiler arayan güvenlik liderlerine kritik bağlam, içgörüler ve fırsatlar sunuyor” dedi. “İleriye baktığımızda, bundan sonra ne olacağını tahmin etmek için bu rapordaki bilgileri diğer önemli öğrenmelerle birlikte kullanabiliriz.”
McKenzie, 2024’te tehdit aktörlerinin kurumsal saldırıları hızlandırmak için rakip yapay zekayı kullanacağını, bunun da savunmacılar için daha fazla gürültü yaratacağını, ancak daha akıllı saldırılar yapmayacağını öngörüyor. Ayrıca, bu alanda devam eden saldırıların ardından, tedarik zinciri güvenliği, üçüncü taraf riski ve envanter yönetimi süreçlerinde kaliteli içgörüler, kapsam ve sürekli güvence elde etmenin güvenlik liderleri için giderek daha önemli alanlar haline geleceğini söylüyor.
“İnsan risk faktörü” ayrıca, sosyal mühendislik saldırılarının kurbanı olan veya iç kontrolleri (kasıtlı veya kasıtsız olarak) operasyonel olarak atlayan, “siber yetenek becerileri açığını” kapatan ve güvenliklerine yardımcı olan kötü niyetli kişilerin ve yanlış yönlendirilmiş çalışanların eylemlerine bağlı olarak daha tehlikeli hale gelecektir. Ekiplerin “ölçeklenmesi” – kuruluşlar, daha küçük, daha az çeşitliliğe sahip, bütçesi kısıtlı veya yetenek kısıtlı ekiplerin başaramadığı benzersiz veya daha önce tanımlanamayan güvenlik açıklarını sürekli olarak ayıklamak için insan zekasının kitle kaynak kullanımını kesinlikle ve daha geniş çapta benimseyecektir.
Kitle kaynaklı güvenlik sektörü olgunlaşıyor
Bilgisayar korsanlığı topluluğu hakkında, en iyi ihtimalle yaratıcılıklarını engelleyen ve en kötü ihtimalle onları etik açıklamalar nedeniyle cezai olarak sorumlu tutan eski yasalara da yansıyan derin bir toplumsal yanlış anlama var. İlerleme kaydedilmesine rağmen hala yapılması gereken çok iş var.
Kitle kaynaklı çözümler arasında hizmet olarak sızma testi, yönetilen hata ödülleri ve güvenlik açığı açıklama programları (VDP’ler) yer alır. Raporda, platformdaki en başarılı programların bilgisayar korsanlarına en yüksek ödülleri (P1 güvenlik açığı bulma karşılığında genellikle 10.000 dolar veya daha fazla) sunduğunu ortaya koyması şaşırtıcı değil. Finansal hizmetler ve kamu sektörleri, K1 güvenlik açığı bildirimleri için en yüksek ödemeyi yapan sektörlerdir.
Geçtiğimiz yıl, işletmeler kamuya açık kitle kaynaklı programları özel programlara göre giderek daha fazla tercih ederken, açık kapsamlı programlar, sınırlı kapsamlı olanlara göre 10 kat daha fazla P1 güvenlik açığına maruz kaldı. Kapsam, bir kuruluşun test edilecek varlıklar olarak listelediği tanımlanmış hedefler kümesidir. Açık kapsamlı bir hata ödül programı, bilgisayar korsanlarının kuruluşa ait varlıklar açısından neyi test edip edemeyeceği konusunda hiçbir sınırlama getirmez.
Kitle kaynaklı güvenlik endüstrisi son on yılda olgunlaştı ve çoğu kişi bunu hala güvenlik teknolojisi yığınının yeni bir parçası olarak görse de, sektörün gelişmekte olduğu inkar edilemez.