Siber güvenlik manzarası hızla gelişmektedir ve yapay zekanın (AI) ve daha karmaşık yazılım tedarik zincirlerinin ana akım olarak benimsenmesiyle, kuruluşlar gerçek siber esnekliği elde etmek için proaktif bir strateji benimsemeleri gerektiğini fark ediyorlar. Geleneksel siber güvenlik protokollerinin artık bugünün siber tehditlerine karşı çalışmadığının önemli bir ilk adımdır.
Black Duck’ın son zamanlarda Olgunluk Modeli (BSIMM) 15 raporu, kuruluşların günümüzün siber güvenlik zorluklarına, ortaya çıkan risklere ve güvenlik programlarını güçlendirmek için en etkili stratejilere nasıl yanıt verdiğine dair temel bilgiler sunmaktadır. BSIMM15, birden fazla sektördeki 121 kuruluşun güvenlik uygulamalarını analiz ederek, kuruluşlara en büyük tehditlerin, uyumluluk gereksinimlerinin nasıl karşılanacağı ve bir şirketin yazılım ekosistemini koruma adımlarının bir yol haritası olarak hizmet eder.
BSIMM15: Yazılım Güvenliğinin Durumu
Yazılım güvenliği eğilimleri değişen siber tehdit manzarasına yanıt olarak gelişmeye devam ediyor ve şimdi kuruluşlar, güvenlik programlarının sağlam olmasını sağlarken, yapay zeka (AI) ve büyük dil modelleri (LLMS) tarafından ortaya çıkan fırsatları ve riskleri gezmek zorundadır.
AI güdümlü sistemlerin gelişen karmaşıklığı, kuruluşların hala tanımlamak ve güvence altına almak için çalıştıkları yeni tehditler ve güvenlik açıkları yaratmıştır. Buna karşılık, BSIMM15 raporu, ortaya çıkan tehditleri incelemek ve yeni savunma stratejileri geliştirmek için özel araştırma grupları oluşturan kuruluşlarda% 30’luk bir artış olduğunu buldu. Ayrıca, düşmanca testlerin (istismar vakaları) kullanımı geçen yıl iki katından fazla artmıştır. Şirketlerin AI modellerini potansiyel istismarlara karşı sürekli olarak test etme ihtiyacını tanıdıkları açıktır, böylece tehdit aktörleri tarafından silahlandırılırsa kendilerini savunmasız bulamazlar. Bu BSIMM faaliyetlerindeki artışı AI ile ilgili endişelere sıkı sıkıya bağlayamasak da, bu faaliyetlerin riskleri ele almanın anahtarları olacağı açıktır.
Raporda ayrıca, yazılım tedarik zincirinin güvence altına alınmasının, büyük ölçüde gelişen düzenleyici gereksinimlerden kaynaklanan kuruluşlar için en büyük öncelik olduğunu ortaya koydu. Artık şirketler her zamankinden daha fazla, tüm yazılım geliştirme yaşam döngüsünde şeffaflık ve güvenliği sağlamak için baskı altında. BSIMM15, açık kaynaklı bileşenlerdeki güvenlik açıklarını tanımlamak için Yazılım Kompozisyonu Analizi (SCA) kullanımında% 67’lik bir artış ve konuşlandırılan uygulamalara daha fazla görünürlük sağlamak için malzeme faturalarının (SBOM) üretilmesinde% 22’lik bir artış buldu.
Ancak, bu gelişmelere rağmen, güvenlik farkındalığı eğitimi yıllar içinde bir düşüş görmüştür. 2008 yılında BSIMM1 raporu, kuruluşların% 100’ünün ekipleri için temel yazılım güvenlik eğitimi aldığını, ancak bugün bu sayının sadece% 51,2’ye düştüğünü ve bugüne kadar kaydedilen en düşük katılım oranını işaret ettiğini buldu. Bu düşüş, gelişmekte olan siber tehditlere karşı savunmak için örgütlerin genel hazırlıkları ile ilgili endişeleri gündeme getirmektedir. Ayrıca, tüm şirket departmanları arasında güvenlik eğitimi ve farkındalık girişimlerine artan yatırım ihtiyacını da göstermiştir.
Bu yatırımın halihazırda gerçekleşmesi mümkündür ve yazılım güvenlik eğitimi geleneksel yöntemlerden daha fazla zamanında eğitime dönüşmektedir. İşbirliği kanalları, yerel güvenlik şampiyonu ile konuşmak için bir sonraki masaya bir yürüyüş ve bir sorunu ve iyileştirilmesini tanımlarken güvenlik test araçları tarafından sağlanan eğitim gibi şeyler hemen eyleme geçirilebilir eğitim sağlayabilir. Bu, gelecek yıl daha fazla araştıracağımız bir şey.
Ortaya çıkan tehditleri, AI risklerini ve yazılım tedarik zinciri zorluklarını azaltmak için güvenlik stratejileri
Organizasyonların ortaya çıkan tehditlere, düzenleyici baskılara ve gelişen yazılım güvenlik açıklarına ayak uydurmak için güvenlik stratejilerini geliştirmeleri gerektiği açıktır. Şirketler, tek bedene uyan bir yaklaşımı benimsemeye çalışmak yerine, güvenlik protokollerini benzersiz iş ihtiyaçlarına göre kişiselleştirmelidir.
Daha önce de belirtildiği gibi, AI siber güvenlik için faydalar sunarken, aynı zamanda karmaşık güvenlik riskleri de ortaya koymaktadır. Birçok kuruluş hala AI’ya özgü saldırı yüzeylerini tanımlamanın ve koruyucu önlemlerin entegre edilmesinin ilk aşamalarında yer almaktadır. Bu risklerin önünde kalmak için, işletmeler AI ile ilgili tehditler üzerinde proaktif olarak zeka toplamalı, AI modelleri için güvenli tasarım kalıpları oluşturmalı ve AI güvenliğinin mevcut yönetişim çerçevelerine gömülmesini sağlamalıdır. Yapay zeka güvenliğinin sonradan düşünülmesi, işletmeleri öngörülemeyen güvenlik açıklarına maruz bırakabilir ve bir kuruluş üzerinde zararlı etkilere sahip olabilir.
Bir başka kritik öncelik de yazılım tedarik zinciri güvenliğini güçlendirmektir. Özellikle ABD hükümeti için yazılım geliştirenler için düzenleyici gereksinimler, güvenlik uygulamalarında önemli değişiklikler ve zorluklar yaratmıştır. BSIMM15 raporu, bunu azaltmak için, yazılım kompozisyon analizinin (SCA) benimsenmesinde keskin bir artış olduğunu ve bu yaklaşımdan yararlanan kuruluşlarda% 67’lik bir artış olduğunu ve açık kaynaklı bileşenlerdeki güvenlik açıklarını tanımlamak için olduğunu göstermektedir. Ayrıca, yazılım faturalarının (SBOM’lar) oluşturulmasında% 22’lik bir artış olmuştur ve şirketlerin yazılım bağımlılıklarına daha iyi şeffaflık sağlamasına yardımcı olmaktadır. Kuruluşlar ayrıca, yazılım tedarik zincirinde artan görünürlük ve risk azaltma ihtiyacını yansıtan kod bütünlüğünü koruma çabalarını artırmıştır.
Son olarak, kuruluşlar siber güvenliğe “her yerde kayma” yaklaşımını benimsemelidir. Günümüz manzarasında güvenlik, yasal, denetim, risk yönetimi ve satıcı gözetim işlevlerine entegre edilmelidir. BSIMM15’e göre, olay odaklı güvenlik testi otomasyonunda% 43’lük bir artış oldu. Çapraz fonksiyonel güvenlik yönetişimini benimseyen şirketler, gerçek zamanlı güvenlik tehditlerini ve uyumluluk gereksinimlerini proaktif olarak yönetmek için daha iyi konumlandırılmış, sonuçta riski azaltır ve siber esnekliğe ulaşır.
İleriye baktığımızda, siber tehditler karmaşıklıkta büyüdükçe ve düzenleyici beklentiler gelişmeye devam ettikçe, kuruluşlar güvenliğe proaktif ve stratejik bir yaklaşım benimsemelidir. Yapay zeka odaklı tehditlere karşı savunmaları güçlendirmek, yazılım tedarik zincirini güvence altına almak, güvenlik bilincine yeniden yatırmak ve güvenliği tüm iş işlevlerine entegre etmek, esnek bir güvenlik programı oluşturmada temel adımlardır.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!