Güvenlik liderleri, dijital tedarik zincirleri genişledikçe ve üretken AI kritik sistemlere gömüldükçe siber güvenlik yaklaşımlarını yeniden düşünüyorlar. Emerald Research tarafından yapılan 225 güvenlik liderinin yakın tarihli bir araştırması,% 68’inin üçüncü taraf yazılım ve bileşenlerin ortaya koyduğu risklerden endişe duyduğunu buldu. Çoğu düzenleyici gereksinimleri karşıladıklarını söylerken,% 60 kabul saldırganları esnekliği korumak için çok hızlı gelişiyor.
225 C-suite veya VP düzeyinde bireylerin araştırması (Kaynak: Emerald Research)
Rapor, uyumluluk ve gerçek güvenlik arasında artan bir gerilimi vurgulamaktadır. Bir bölümün belirttiği gibi, “Güvenlik liderleri daha güçlü kontroller, daha hızlı iyileştirme ve ortaya çıkan AI risklerine daha fazla görünürlük çağrısında bulunuyorlar.” Artık birçoğu siber güvenliği sadece teknik olmaktan ziyade stratejik bir iş meselesi olarak görüyor.
Üçüncü taraf araçları en büyük endişe olmaya devam ediyor, ancak üretken AI yetişiyor. Ankete katılanların neredeyse yarısı AI güdümlü özellikler ve büyük dil modelleri konusunda huzursuz olduklarını söylüyor. Kurullar da not alıyor. Güvenlik liderlerinin yüzde altmış sekizi, kurullarının şimdi Genai’nin güvenli bir şekilde konuşlandırılmasını kritik bir öncelik olarak gördüğünü söylüyor.
Bu endişeler varsayımsal değildir. AI uygulamalarının penetrasyon testleri,% 32’sinin yüksek riskli güvenlik açıklarına sahip olduğunu bulmuştur. Bu, diğer sistem kategorilerinden daha yüksek bir şiddetli bulgu oranıdır. En yaygın kusurlar AI’ya özgü değildi, ancak SQL enjeksiyonu ve depolanan siteler arası komut dosyası gibi klasik konulardı.
Yazılım tedarik zincirlerinin karmaşıklığı da endişe yaratıyor. Günümüzde çoğu kuruluş, tescilli kod, açık kaynaklı bileşenler ve dış hizmetlerin bir karışımına güvenmektedir. Ankete katılan yöneticilerin yüzde yetmiş üçü, geçen yıl bir tedarik zinciri kırılganlığı veya olay hakkında en az bir bildirim aldıklarını söyledi. Buna karşılık,% 83’ü artık satıcı güvenliğini göstermek için resmi gereksinimlerle karşı karşıyadır ve yarısından fazlası tedarikçilerden pentest ve güvenlik açığı raporlaması gerektirir.
Bu önlemler aynı zamanda müşteri ilişkilerini de şekillendiriyor. “Güvenlik liderlerinin yüzde yetmiş dördü düzenli, belgelenmiş pentesting’in müşterilerle güvenilirliği artırdığına ve tedarikte rekabet avantajı sunabileceğine inanıyor.”
Penetrasyon testi artık kontrol edilecek bir kutu olarak ele alınmaz. Kurumsal güvenlik programlarının temel bir unsuru haline gelmiştir. Güvenlik liderlerinin yüzde seksen sekizi bunu hayati önem taşıyor. Yarısından fazlası kendi yazılımlarını doğrulamak için pentests kullandıklarını söylüyor. Yarısından fazlası, müşterilere yazılım yayınlamadan önce üçüncü taraf pentest’leri de gerektirir.
Anket,% 49’unun yazılım tedarik zinciri güvenlik açıklarını tanımlamak için Pentesting’i kullanmayı planladığını ve% 44’ünün içeriden gelen tehditleri ortaya çıkarmak için kullanmayı planladığını buldu. Uygulama, geliştirme yaşam döngüsü ve tedarik iş akışlarına entegre edilmektedir.
Üretken AI yeni ve öngörülemeyen bir risk olarak ortaya çıkmaktadır. Ankete katılanların yüzde altmış altısı, Genai’nin saldırganların verileri analiz etmesine ve savunmalardan kaçmasına yardımcı olduğunu söylüyor. AI’nın tüm saldırı yaşam döngüsünü otomatikleştirebileceğinden ve% 62’sinin AI geliştirme araçlarının kod tabanlarına gizli güvenlik açıkları getirebileceğinden endişe duymaktadır.
Veri koruma bu endişelerin merkezinde yer almaktadır. “Liderlerin yüzde kırk dördü model zehirlenmesi ve fikri mülkiyet hırsızlığını en acil gene ile ilgili riskleri olarak belirtiyor.” Diğerleri eğitim veri sızıntısı, yetkisiz platform kullanımı ve yapay zeka çıkışlarında önyargıyı belirtir. Yapay zekanın yeniliğine rağmen, temeldeki sorunlar hala klasik yazılım güvenlik sorunlarına kadar uzanıyor.
Güvenlik ekipleri yeni araçlar ve standartlar çağrısında bulunuyor. Yarısından fazlası, konuşlandırmadan önce Genai güvenliğini değerlendirmek için özel araçlar istiyor. Eşit sayı, AI’nın defansif olarak nasıl kullanılacağı konusunda rehberlik ister. Yüzde kırk sekiz, AI tarafından üretilen saldırıları tespit etmek ve bunlara yanıt vermek için çerçevelere ihtiyaç duyduklarını söylüyor. Raporun bir bölümünün belirttiği gibi, “bu tür korkuluklar olmadan, inovasyon vaadi uzun vadeli güvenlik ve marka itibarı pahasına olabilir.”
Cisos şimdi daha saldırgan bir zihniyete doğru itiliyor. Birçoğu pentesting’i satıcı anlaşmalarına yerleştiriyor ve geleneksel altyapı ile ilgili AI sistemlerine aynı titizliği uyguluyor. Bir öneri şöyle yazıyor: “Penetrasyon testi yapmanın, tedarikin ve tüm yazılım geliştirme yaşam döngüsünün pazarlık edilemez bir parçası haline getirin.”