2025 yılı, güvenlik açığı veritabanlarına güvenin aşınması, siber saldırılarda patlayıcı bir büyüme ve işletmeler için dijital aşırı yükle işaretlenen bir ortamda ortaya çıktı.
Veri ihlalleri rutin hale geldi, CVE’lerin sayısı kayıtları kırmaya devam ediyor ve geleneksel savunma yaklaşımları artık işe yaramıyor.
Kaspersky’de Bilgi Güvenliği ve Uyum Başkanı Siber Güvenlik Uzmanı Ilia Dubov, Endüstri Genel Bakış ve Top Voices dergisinde güvenlik açığı yönetimi için bir strateji yayınladı.
İşte bu yıl endüstri manzarasını tanımlayan en önemli gerçekler ve eğilimler.
1. CVS’lerin büyümesi
2024 CVES için bir kayıt belirleyin. Buna göre Olay Yanıtı ve Güvenlik Ekipleri Forumu (BİRİNCİ)on iki ay boyunca 45.000’den fazla güvenlik açığı kaydedildi ve 2025’te bu rakamın%11 daha artması bekleniyor.
Güvenlik uzmanları için bu sadece sürekli artan bir iş yükü değil, aynı zamanda daralma yanıt süresi anlamına gelir. En önemlisi, açıklama ve sömürü arasındaki boşluğun sadece birkaç saate kadar daralmasıdır.
Saldırganlar, kuruluşların yamaları hazırlayıp dağıtabileceğinden daha hızlı çalışma istismarlarına silahlandırmak için otomasyon ve makine öğreniminden yararlanıyor.
2. Altyapı zorlukları
Yeni güvenlik açıklarının hızla büyümesinin ortasında, topluluk benzeri görülmemiş altyapı zorluklarıyla karşı karşıya. En önemli örnek, kriz Ulusal Güvenlik Açığı Veritabanı (NHD).
Yıllarca, dünya çapında geliştiriciler ve güvenlik ekipleri NVD’ye güveniyordu, ancak 2024’te aşırı yüklendi ve gelen verilere ayak uyduramadı.
Kasım ayına kadar, veritabanı 20.000’den fazla işlenmemiş güvenlik açıkları biriktirmişti. Bunlardan% 93’ü yenidi ve neredeyse yarısı zaten aktif olarak sömürülüyordu.
Başka bir deyişle, topluluğun en çok ihtiyaç duyulması gereken tehditler.
Dubov tarafından vurgulandığı gibi, bu durum merkezi kaynaklara olan güveni zayıflattı ve saldırganlar için ek fırsatlar açtı.
NVD’nin bozulması bir domino etkisini tetikledi: bazı şirketler ticari platformlara, diğerleri yerel girişimlere yönelmek zorunda kaldı, veri ortamını daha da parçaladı ve çoğaltma veya kritik bilgi kaybı risklerini artırdı.
Kriz de siyasi düzeyde fark edilmedi: Avrupa Birliği resmen görevli Enisa Bir Avrupa güvenlik açığı veritabanı geliştirmekle – bölgesel bir düzenleyici ilk kez küresel kaynağın etkinliğini kamuya açıkladı.
3. Dijital dönüşüm hızlanır
Bu arada iş yavaşlamıyor. Bulut, IoT, SaaS ve AI odaklı hizmetler sürekli daha hızlı bir şekilde benimsenerek yeni risk noktaları ekleniyor.
Büyük ve dağıtılmış altyapılarda, güvenlik açıkları sabitlenebileceklerinden daha hızlı ortaya çıkmaktadır. Dubov, kuruluşların tek bir güvenilir tehdit verisi kaynağından yoksun olduğunu, güncellemelerin geciktiğini ve önerilerin genellikle tutarsız olduğunu vurguluyor.
Bu koşullar altında, klasik stratejiler giderek daha katı görünmektedir. Planlanan taramalar ve yama döngüleri artık kuruluşların saldırganların önünde kalmasına izin vermiyor.
Saldırı yüzeyi genişlemeye devam ederken şirketler tepki veriyor. Kuruluşlar, tehditleri istikrarlı bir şekilde azaltmak yerine, saldırganların kolayca yararlanabileceği artan sayıda eklenmemiş güvenlik açıkları olan “güvenlik borcu” biriktiriyor.
4. Eski yöntemler etkinliği kaybediyor
Geleneksel güvenlik açığı yönetimi planlı tarama, CVSS tabanlı önceliklendirme ve rutin yama üzerine inşa edilmiştir.
Bu model, güvenlik açıklarının hacmi daha düşük olduğunda ve istismarların gelişmesi haftalar sürdüğünde çalıştı. Bugün, büyük ölçüde bir formalite haline geldi.
Tarayıcılar kaplar, bulut ve saaS gibi hibrit ortamları yeterince kapsamazlar. CVSS puanları, sömürü kullanım olasılığını veya varlıkların iş kritikliğini yansıtmaz.
Sonuç olarak, kuruluşlar yüzlerce “kırmızı” güvenlik açığı ile raporlar alırlar, ancak hangilerinin acil tehdit oluşturduğu konusunda netlikten yoksundur. Süreç kağıt üzerinde var, ancak artık gerçek dünya risklerini azaltmıyor.
Daha da önemlisi, eski model büyük kör noktalar. Sadece kayıtlı güvenlik açıklarına (CVES) odaklanır ve büyük ölçüde göz ardı eder:
- yanlış yapılandırmalar (örn., Açıkta kalan S3 kovaları, yanlış yapılandırılmış VPN ağ geçitleri);
- MFA olmayan hizmet hesapları da dahil olmak üzere unutulmuş veya zayıf hesaplar;
- Kaynak koddaki sert kodlanmış jetonlar ve anahtarlar;
- Güvenlik ekibinin görünürlüğü dışındaki Gölge BT varlıkları ve SaaS hizmetleri.
Bu sorunlar NVD’de izlenmez ve CVSS puanları almaz, ancak pratikte genellikle saldırganlar için ilk giriş noktalarıdır.
Başka bir deyişle, klasik süreç sadece tarayıcıların göremediği geniş bir risk yelpazesine maruz kalan organizasyonları bırakarak “buzdağının ucunu” kapsar.
5. Maruz kalma yönetimine geçiş
İleriye giden yol maruz kalma yönetimine bir geçiştir. Bu yeni model, risk noktalarının tüm spektrumunu kapsayacak şekilde CVV’lerin ötesine bakar: açık konfigürasyonlar, unutulmuş hesaplar, sert kodlanmış jetonlar ve tedarik zincirlerindeki zayıf bağlantılar.
Özünde, şirket içi sistemlerden bulut hizmetlerine, IoT ve OT’ye kadar kapsamlı, güncel bir varlık envanteri bulunmaktadır.
Birden çok kaynakta veri toplama – NVD, CISA KEV, vulncheck, tehdit istihbarat beslemeleri ve satıcı bültenleri – tehditlerin gerçekten önemli olan daha doğru bir resim sunar.
Önceliklendirme iş bağlamından kaynaklanmaktadır: varlığın ne kadar kritik olduğu, sömürü olasılığı ve potansiyel etki.
Otomasyon ve AI merkezi bir rol oynar, daha hızlı tepki ve en önemli olana daha keskin bir odaklanma sağlar.
Etkinlik, Dubov’un makalesinde vurguladığı yeni metriklerle ölçülür:
- Tespit/Yanıtlama Ortalama Süresi (MTTD/MTTR) – Tespit ve yanıt hızı;
- Yama oranı – Yama SLA’larına uyum;
- Güvenlik açığı nüks oranı – Konteyner görüntülerinde veya yeni sürümlerde sorunların ne sıklıkla yeniden ortaya çıkması;
Tehdit Maruz Kalma Endeksi – Yönetici liderliği için örgütsel riskin bütüncül bir görüşü.
Sırada ne var
2025 bir dönüm noktası haline geliyor. Eski yöntemler artık saldırıların hızına ve ölçeğine ayak uyduramaz.
Yeni model-maruz kalma yönetimi-güvenlik, devOps ve iş ekipleri arasında otomasyon, entegre veriler ve işlevler arası işbirliği gerektirir. Uyum yapan kuruluşlar gerçek risk kontrolünü sürdürebilecektir.
Yama ve prime güvenmeye devam edenler, savunmada kalacak ve hazırlıksız oldukları daha sık saldırılarla karşılaşacaklar.
Piyasa ve bireysel kuruluşlar için bu üç temel eylem anlamına gelir:
- Reaktif güvenlik açığı yamasından sistematiklere kayma maruz kalma yönetimi;
- dağıtım otomasyon ve yapay zeka tespit ve yama işlemlerinde ölçekte;
- Yeni benimsemek Etkililik metrikleri Bu, kapalı CVE’lerin sayısını değil, gerçek risk azaltmayı yansıtır.
Ayrıntılı strateji ve pratik öneriler için, bkz. Ilia Dubov’un makalesi – 2025 siber güvenlik manzarasında güvenlik açığı yönetimi için uygulama stratejisi.