Swimlane’e göre, birden fazla tarayıcıdan gelen parçalanmış veriler, silolanmış risk puanlaması ve ekipler arası zayıf işbirliği, kuruluşları giderek daha fazla ihlallere, uyumluluk hatalarına ve maliyetli cezalara maruz bırakıyor.
Güvenlik açıklarının aralıksız artması, güvenlik ekiplerini sınırlarını zorluyor ve onları artık yeterli olmayan araç ve süreçlerle çok büyük riskleri yönetmeye zorluyor.
Swimlane, güvenlik açığı yönetimi ekiplerinin bu zorluklarla nasıl başa çıktığını ortaya çıkarmak için ABD ve İngiltere’deki 500 siber güvenlik karar vericisiyle anket yaptı.
Swimlane CISO’su Michael Lyborg, “Güvenlik açığı yönetiminin artan karmaşıklığı, kuruluşları kuruluş çapındaki güvenlik, risk ve uyumluluk stratejilerine nasıl yaklaştıklarını yeniden düşünmeye itiyor” dedi. “Artık mesele sadece güvenlik açıklarını düzeltmek değil, operasyonlarınız için en önemli olanlara öncelik vermek. İşletmelerin manuel görevler nedeniyle her yıl çalışan başına tahmini 47.580 ABD Doları kaybetmesiyle birlikte, kuruluşların artık geçmişin reaktif modunda çalışmayı göze almaları mümkün değil.”
Kuruluşlar etkili güvenlik açığı önceliklendirmesinden yoksundur
Kuruluşların %68’i kritik güvenlik açıklarını 24 saatten fazla çözümsüz bırakıyor; %37’si önceliklendirmede en büyük zorluğun bağlam veya doğru bilgi eksikliği olduğunu belirtiyor. Benzer şekilde %35’i bu bağlam eksikliğinin iyileştirme çabalarını engellediğini belirtiyor.
2024’te Ulusal Güvenlik Açığı Veri Tabanı’na alınan 39.000’den fazla yeni güvenlik açığı göz önüne alındığında, doğru verilere sahip olmak, akıllı ve hızlı risk puanlaması için çok önemlidir. Bu olmadan, güvenlik ekipleri eksik veya parçalanmış içgörülerle çalışmak zorunda kalır, bu da verimsiz süreçlere ve daha yavaş yanıt sürelerine yol açar.
Kuruluşların %55’i hâlâ güvenlik açığı önceliklendirmesine yönelik kapsamlı bir sisteme sahip değil. Katılımcıların %45’i manuel ve otomatikleştirilmiş süreçleri birleştiren hibrit bir yaklaşımdan yararlanırken, birçoğu güvenlik açığı tespiti için bulut güvenliği duruş yönetimi (%71), çoklu uç nokta tarayıcıları (%60) ve web uygulaması tarayıcıları (%59) gibi araçlara güveniyor.
Manuel çabanın ve verimsizliğin gizli maliyetleri
Manuel görevler önemli miktarda kaynak tüketiyor; güvenlik ekiplerinin %57’si zamanlarının %25-50’sini güvenlik açığı yönetimi operasyonlarına ayırıyor. %55’i, güvenlik açığı verilerini birleştirmek ve normalleştirmek için haftada beş saatten fazla zaman harcıyor; %51’i ise tarayıcı sonuçlarının sınırlı faydasının, ek araçlar ve süreçler gerektirdiğini belirtiyor.
Kuruluşların %65’i, güvenlik açığı yönetimi programlarının düzenleyici denetim gereksinimlerini karşılama becerisine güvenmiyor. Bu arada, %73’ü yetersiz güvenlik açığı yönetimi uygulamalarına bağlı potansiyel para cezaları konusunda endişelerini dile getiriyor.
Kuruluşların %59’u, silolanmış güvenlik açığı yönetimi uygulamalarının verimsizlik yarattığını ve sistemlerini potansiyel güvenlik risklerine maruz bıraktığını bildiriyor.
Swimlane Baş Strateji Sorumlusu Cody Cornell, “Daha akıllı önceliklendirme ve otomasyon artık isteğe bağlı değil; bunlar güvenlik açıklarını azaltmak, ihlalleri önlemek ve sürekli uyumluluk sağlamak için çok önemli” dedi. “Akıllı otomasyonu insan uzmanlığıyla harmanlayarak, güvenlik açığı yönetimi ekipleri kararlı bir şekilde hareket etmek için ihtiyaç duydukları netliği kazanıyor. Verileri merkezileştirmek ve gerçek zamanlı yanıt vermek bir lüks değil; riski en aza indiren ve bir sonraki zorluğa odaklanmak için zaman kazandıran bir iş zorunluluğudur.”