Edgescan 2025 Güvenlik Açığı İstatistikleri Raporu, 2024 yılında yapılan binlerce değerlendirmeden ve penetrasyon testlerinden yararlanarak küresel siber güvenlik manzarasının veri açısından zengin bir anlık görüntüsünü sunmaktadır.
Şimdi 10. yılında rapor, endüstriler arasındaki tam yığın güvenlik eğilimlerini analiz ederek, ortak güvenlik açıklarını vurguluyor, gecikmeleri yama ve riskli riskleri riske atıyor. İstismar mevcudiyeti, saldırı yüzeyine maruz kalma ve iyileştirme zaman çizelgeleri hakkında içgörülerle kuruluşları daha akıllı, riske dayalı kararlar vermek için ihtiyaç duydukları verilerle donatır.
Rapor, siber güvenlikte kalıcı bir zorluğu vurgulamaktadır: tüm güvenlik açıkları eşit yaratılmamıştır. Bazıları nadiren ortaya çıkar, ancak yüksek ihlal potansiyeli taşır – Edgescan’ın “yoğun” riskler olarak tanımladığı şey. EPSS, CISA KEV, CVSS ve SSVC gibi önceliklendirme modellerinin bulunmasına rağmen, tutarsızlıkları karar verme için herhangi bir çerçeveye güvenmeyi zorlaştırıyor.
Yamalama, özellikle üretim ortamlarında, iyileştirme (MTTR) metriklerine dayanıklı ortalama sürede yansıtıldığı gibi önemli bir engel olmaya devam etmektedir. Birçok kuruluş hala görünürlükle mücadele etmektedir, bu da riski azaltmada önemli bir faktördür. Endişe verici bir şekilde, 2015 yılına dayanan güvenlik açıkları, aktif fidye yazılımı ve kötü amaçlı yazılım kampanyalarında hala kullanılıyor.
Dahili sistemler özellikle savunmasız kalır, saldırganlar genellikle etkiyi büyütmek için teknoloji yığınında zayıflıkları zincirler. Bu, Saldırı Yüzey Yönetimi (ASM) her zamankinden daha kritik hale getiriyor. Edgescan’ın sürekli varlık profili, hassas sistemlerin genellikle kuruluşların kendileri bilgisi olmadan kamuya açık internete maruz kaldığını ortaya koymaktadır.
Nihayetinde, veriler net bir resim çiziyor: Etkili risk yönetimi, görünürlüğün iyileştirilmesine, çoklu risk modellerinin entegre edilmesine ve size karşı kullanılmadan önce eski güvenlik açıklarını ele almaya bağlıdır.
2025 raporunun temel bulguları şunları içerir:
- Tam yığın boyunca, keşfedilen güvenlik açıklarının% 33’ünden fazlası kritik veya yüksek bir şiddete sahipti.
- SQL enjeksiyonu (CWE-89), 2022’den bu yana bir eğilimi sürdüren en yaygın kritik web uygulaması güvenlik açığı olmaya devam etmektedir.
- MTTR Kritik bir şiddet web uygulaması güvenlik açığı 35 gün, internete bakan ana bilgisayar/bulut güvenlik açıkları ortalama 61 gün sürer.
- 2024 yılında rekor kıran 40.009 CVE yayınlandı.
- CISA KEV kataloğu, 2024 sonuna kadar 1.238 güvenlik açığı içeriyordu ve yıl boyunca 185 eklendi.
- 768 CVE’ler, 2024’te Vahşi’de ilk kez kullanıldığı bildirildi, bu da keşfedilen tüm güvenlik açıklarının% 2’sini ve 2023’ten% 20’lik bir artışı temsil etti.
İndirmek: 10. baskısı Edgescan 2025 Güvenlik Açığı İstatistikleri Raporu.