2025 siber güvenlik için yoğun bir yıl oldu. Beklenmedik saldırılardan tehdit gruplarının yeni taktiklerine kadar, çok fazla uzmanları hazırlıksız yakaladı. Siber güvenlik liderlerinden bu yıl gördükleri en büyük sürprizleri ve bu sürprizlerin geri kalanımız için ne anlama gelebileceğini paylaşmalarını istedik.
Chris Acevedo, Baş Danışman, Optiv
2025’teki en büyük siber güvenlik sürprizi, AI destekli işletme e-posta uzlaşmasının, özellikle de sadece e-postadan uzak olan pivotun hızı ve sofistike olmasıydı.
Saldırganların kimlik avı e-postalarından tam spektrum taklitine dönüştüğünü gördük: AI tarafından oluşturulan sesler ve hatta yöneticileri taklit etmek için canlı çağrılarda veya sesli mesajlarda kullanılan derin peynir videoları. Bir durumda, bir müşterinin finans liderliği, acilen bir fon transferi isteyen bir Teams sesli mesajı (görünüşte CFO’dan) aldı. Ton, kadans ve sözlü keneler ürkütücü bir şekilde doğruydu. Ancak gerçek CFO’ya manuel bir geri çağrıdan sonra, zamanında yakalanan sahtekarlık vardı.
Bunu bu kadar tehlikeli kılan şey, kulağa ne kadar meşru ve hissettiriyor. Bu derin dişler sadece teknik olarak etkileyici değildir, aynı zamanda insan ilişkileri ve yürütme iletişimine yerleştirilen güven ve aciliyetten yararlanırlar.
CISOS dersi? E -posta filtreleme ve MFA artık yeterli değil. Güvenlik liderlerinin, özellikle yüksek riskli işlemler için insan doğrulama iş akışları açısından düşünmeleri gerekir. Hassas onayları (ses doğrulaması, ikincil imzalar, güvenli mesajlaşma uygulamaları) ele alan süreçlere “bant dışı” onay adımları oluşturmanızı öneririz.
Eğitim ve farkındalığın kimlik avı simülasyonlarının ötesine geçmesi gerekir. Çalışanlar, tam olarak liderliklerine benziyor veya ses çıkarsa bile, ne gördüklerini ve duyduklarını sorgulamaya hazır olmalıdır.
Saldırganlar her zaman güvenin yaşadığı yerde takip ettiler. 2025’te konuşmayı öğrendiler.
Iftach Ian Amit, CEO, Gomboc.ai
2025’teki en büyük sürprizim, üretken yapay zeka kodlamasının hala geliştiriciler ve mühendisler tarafından kabul edilebilecek bir çözüm olarak algılanmasıdır. Basit prototiplemenin ötesine geçen veya bir tür “V1” uygulaması oluşturan bir işletme düzeyine kodlama asistanlarını ve vibe kodlamasını dahil etmek için birden fazla girişimde tanık oldum ve bunlarla tanıtılan güvenlik deliklerinin sayısı şaşırtıcı.
Vibe kodlamayı, muhtemelen doğru, tekrarlanabilir ve deterministik bir “hizalama” mekanizması ile tamamlayan olgun bir uygulamanın olmaması, aslında Mühendislik uygulamaları aracılığıyla AI’nın yaygın olarak benimsenmesini engellemektedir.
Jim Alkove, Oleria CEO’su
Kimliğin hem siber güvenlik hem de iş etkinleştirmesi için kritik bir temel olduğu son 12 ay boyunca artan tanınma konusunda hoş bir sürpriz oldum. Bu nedenle, en büyük ihlallerin bazılarının hala sofistike ve saygın kuruluşlarda bile temel kimlik güvenliği boşluklarından kaynaklanması daha şaşırtıcı.
Durumda: Salesforce müşterilerini hedefleyen son UNC6040 saldırıları. Yaygın MFA benimsemesine rağmen, saldırganlar başarılı oldular çünkü kuruluşlar hala kimlik avı dayanıklı Fido anahtarları yerine SMS kodları ve itme bildirimleri gibi zayıf kimlik doğrulama yöntemlerine güveniyorlardı.
Tavsiyem: Her kuruluşun dürüst bir kimlik değerlendirmesine ihtiyacı var. Görünmeyen erişim riskini yönetemezsiniz ve bu temel adım AI yönetişiminden olay tepkisine kadar her şeyi sağlar.
Ayrıca daha büyük AI ile ilişkili ihlaller görmediğimiz için şaşırdım. Ama ciddi bir AI ihlali dalgasının geldiğine daha az ikna olmadım. Chatgpt sonrası üç yıl, AI benimseme güvenlik kontrollerini tehlikeli bir farkla geride bırakıyor. Organizasyonların, bu yeni vektörler etrafında kimlik yönetişimi kurmadan AI copilots ve ajanları kullandığını görüyoruz, bu da önemli güvenlik riskleri getiriyor.
Son olarak, daha fazla insanın yaklaşmakta olan ajan AI dalgasının geleneksel kimlik çerçevelerimizi nasıl ezeceğinden bahsetmediğine şaşırdım. Makine kimlikleri ve diğer insan olmayan kimlikler (NHIS) için mevcut paradigmalarımıza uymayan belirsiz şekillerde hareket eden tamamen özerk ajanlardan bahsediyoruz.
Abhay Bhargav, Baş Araştırma Görevlisi, AppSecEngineer
Benim için 2025’teki en büyük siber güvenlik sürprizi, Antropic’in AI ajanlarına herhangi bir büyük dil modeliyle bağlam paylaşmak için evrensel bir “USB-C-tarzı” konnektörü vermek için Model Bağlam Protokolü’nün (MCP) yayınlanması ve neredeyse bir gecede benimsenmesiydi. Kağıt üzerinde uzun süredir istediğimiz atılım katmanı gibi görünüyordu: geliştiricilerin ısmarlama adaptörler olmadan düzenleme çerçevelerini, hafıza depolarını ve akıl yürütme motorlarını bir araya getirebilmesi için bir bırakma arayüzü. Beklenti yaşadı. Evlat edinmesi çok kolaydır ve defacto standardı haline gelmiştir.
Uygulamada, gerçek şok, spesifikasyon ve uygulamanın güvenliği ne kadar ciddi bir şekilde görmezden geldiğiydi. Yalnızca OIDC’yi destekleyen kimlik doğrulama dışında, güçlü yetkilendirme ve erişim kontrolü uygulamaya odaklanmıyor gibi görünüyor.
Uygulamalar güvenlik günlüğünde çok eksiktir ve buna yönelik de bir görev yoktur.
İzolasyon modeli, güvenlik açısından gerçekten zayıftır, çünkü görev zehirlenmesine kolayca başlayabilir ve aynı sistemde yüklü diğer MCP sunucularını ele geçirebilecek bir sürü saldırı gerçekleştirebilirsiniz.
Tedarik zinciri açısından, bütünlük ve provenans gibi tedarik zinciri güvenlik gereksinimlerini zorlamanın gerçekten iyi bir yolu yoktur. Bu kontroller tamamen eksik.
Birlikte çalışabilirlikle göz kamaştırıcı AI topluluğunu görmek hayal kırıklığı yarattı, MCP’yi ilk olarak bir tehdit modeli talep etmeden kritik iş akışlarına dönüştürdü. 2025’te iyi finanse edilen takımları izlemek, Web 2.0’ın Hyperspeed’de Déjà Vu gibi hissettiği “Daha Sonra Güvenli” modelini tekrarlayın. Uygulayıcılar erken ve yüksek sesle geri dönmedikçe, rahatlığın hala güvenliğe karşı zafer kazandığını hatırlatıyor.