.webp?w=696&resize=696,0&ssl=1 "Üçüncü Tarafların Güvenlik Açıkları Arttıkça CISO'lar Güvenlik Modernizasyonuna Yönelik Çabaları Hızlandırıyor")
Panorays, Üçüncü Taraf Siber Risk Yönetimine yönelik yıllık CISO Anketi’nin son sayısını yayınladı ve güvenlik uzmanları için bazı önemli uyandırma çağrıları içeriyor.
En büyük çıkarım, siber suçluların giderek büyüyen üçüncü taraf bileşenleri listesini hedef alarak yazılım tedarik zinciri saldırılarının bir kez daha artmasıdır.
Tehdit yüzeyini artırmakla kalmayıp aynı zamanda siber suçlulara saldırılarını gerçekleştirmek için daha gelişmiş araçlar sağlayan yapay zekanın kitlesel olarak benimsenmesi de bu duruma yardımcı olmuyor.
Ancak yapay zeka her iki yönde de çalışıyor ve giderek daha fazla güvenlik lideri siber savunmalarını desteklemek için bu tür araçlara yöneldikçe kurumsal güvenlik konusunda cesaret verici işaretler var.
Panorays’a göre ankete katılan 200 ABD merkezli CISO’nun %60’ı bu yıl üçüncü taraf güvenlik olaylarında artışa tanık olduklarını söyledi. Bunların yüzde 9’u sıçramanın “önemli” olduğunu söylerken, yüzde 51’i saldırı sayısının çok az arttığını söyledi.
Ancak CISO’lar için en büyük endişe bu olayların etkisidir.
Katılımcıların dörtte üçünden fazlası, üçüncü taraf yazılım risklerinin karşılaştıkları en önemli siber güvenlik endişelerinden biri olduğunu söylerken, %23’ü bunun kuruluşları için bir numaralı risk olduğunu söyleyecek kadar ileri gidiyor.
Yalnızca %22’si üçüncü taraf riskini “küçük” bir endişe olarak değerlendirdiğini söyledi.
Bulgular, CISO’ların üçüncü taraf yazılım satıcılarına olan bağımlılıklarının giderek daha fazla farkına vardıklarını gösteriyor ve bu, bu tür araçların iş operasyonlarında ne kadar derin bir şekilde yerleşik hale geldiği göz önüne alındığında da gayet iyi.
JumpCloud tarafından yapılan daha önceki bir çalışma, ortalama bir işletmenin 100 ile 300 arasında hizmet olarak yazılım uygulaması kullandığını ve bunun aslında buzdağının sadece görünen kısmı olduğunu, çünkü bulut altyapısı ve özel uygulamalarda kullanılan açık kaynak bileşenleri gibi unsurları içermediğini gösterdi.
Üçüncü taraf yazılımlar, endişe verici görünürlük eksikliği nedeniyle çok az sayıda CISO’nun gerçekten nasıl başa çıkacağını bildiği, giderek büyüyen bir saldırı yüzeyi oluşturdu.
Panorays’a göre katılımcıların yalnızca %15’i tüm yazılım tedarik zincirleri hakkında tam bilgiye sahip olduklarını iddia etti.
Üçüncü taraf yazılım tedarik zincirlerine ilişkin görünürlük eksikliği, kuruluşun güncelliğini kaybetmiş tehdit değerlendirme yöntemlerine olan güveninin devam etmesinden kaynaklanmaktadır.
Raporda, CISO’ların büyük çoğunluğunun hâlâ birincil tehdit istihbaratı kaynağı olarak geleneksel tedarikçi güvenliği anketlerini kullandığı, ancak %71’inin üçüncü taraf riskini doğru bir şekilde değerlendiremediklerini itiraf ettiği ortaya çıktı.
Genellikle kuruluşlar, başlangıç aşamasında satıcılara statik bir soru listesi sunar, ancak toplanan bilgiler faydalı olsa da, gelişen tehditleri belirleyemezler.
Bu öncelikle bir ölçek sorunu; satıcı ekosistemleri katlanarak büyüyor ve dolayısıyla bu manuel süreçler artık değişen tehdit ortamına ayak uyduramıyor.
Neyse ki, statik anketlerin eksiklikleri konusunda artan farkındalık, bir modernizasyon çabasını başlatmış gibi görünüyor; CISO’ların üçte ikisi, satıcı risk değerlendirmesini denemek ve geliştirmek için daha yeni, yapay zeka destekli araçları benimseyerek yanıt veriyor.
Yapay zeka araçlarını henüz benimsememiş olanların çoğunluğu bunu yakın zamanda yapmayı planlıyor ve CISO’ların yalnızca %1’i böyle bir planlarının olmadığını söylüyor.
.webp)
Siber tehdit görünürlüğü için yapay zekanın giderek daha fazla benimsenmesi, CISO’nun rolünün değişen doğasının altını çiziyor. Modern CISO’lar artık sadece teknik bekçiler değil; bunun yerine kurumsal çapta risk yönetiminin orkestratörleri gibi hareket etmeleri gerekiyor.
Bir siber dayanıklılık kültürü oluşturmaları gerekiyor ve bu, neden bu kadar çok kişinin yapay zeka destekli güvenlik platformlarını benimsediğini açıklıyor.
Yapay zeka ile tehdit değerlendirmesinin daha fazla zaman harcayan yönlerinin çoğunu otomatikleştirmek, geçmiş verilere dayalı yanıtları otomatik olarak doldurmak ve güvenlik ekiplerine risk doğrulamaya odaklanma özgürlüğü vermek mümkündür.
Yapay zeka aynı zamanda doğruluğu da artırır çünkü insan yorgunluğunu ortadan kaldırır, yanlış pozitiflerin sayısını azaltır ve daha derin gözetim için alan yaratır.
Görünürlük Yeterli Değil
Yapay zekanın tehdit görünürlüğü konusunda dönüştürücü bir potansiyeli olduğu açık ancak daha yapılacak çok iş var. CISO’ların aynı zamanda ortaya çıkan tehditlerle başa çıkmak için kapsamlı, denenmiş ve test edilmiş bir olay müdahale planına sahip olmaması durumunda, gelişmiş görünürlüğün pek bir faydası olmaz.
Ne yazık ki, CISO’ların yalnızca %21’inin şu anda harici yazılım tedarikçilerinden kaynaklanan ihlallerle başa çıkma planı varken, geri kalanı bunlarla nasıl başa çıkılacağına dair herhangi bir standartlaştırılmış çerçeveden yoksun.
İyi haber şu ki bu sorunu düzeltmek CISO’ların, özellikle de büyük kuruluşların gündeminde görünüyor. Anket, 10.000 veya daha fazla çalışanı olan işletmelerdeki CISO’ların %36’sının uygun bir olay müdahale planına sahip olduğunu, buna karşın 5.000’den az çalışanı olan küçük şirketlerdeki CISO’ların yalnızca %16’sının olduğunu ortaya çıkardı.
Panorays’ın kurucusu ve CEO’su Matan Or-El, üçüncü taraf güvenlik açıklarındaki artışın nedenini yapay zeka araçlarının “yaygın şekilde benimsenmesine” bağladı, ancak aynı zamanda yapay zekanın bu sıkıntıların çoğuna çözüm olacağı konusunda da iyimser olduğunu söyledi.
“CISO’lar, gelişen tehdit ortamının netliğini artırmak için yapay zeka odaklı çözümlerin değerini giderek daha fazla görüyor” diye açıkladı.
