Yeni bir rapor, neredeyse tüm CISO'ların, özellikle iş teslim tarihlerine uyulması gerektiğinde, koddaki uyumlulukla ilgili siber güvenlik sorunlarını bastırma veya geciktirme konusunda baskı hissettiğini belirtti.
Checkmarx tarafından 8 Haziran'da açıklanan araştırmaya göre, CISO'ların %95'i, işin diğer bölümleri tarafından güvenlik sorunlarının raporlanmasının önceliklendirilmesi veya geciktirilmesi yönünde baskıyla karşılaştıklarını söyledi.
Bu baskının bir sonucu olarak ankete katılanların %75'i, kuruluşlarının hassas kodu bilerek bir üretim ortamına yerleştirdiğini söyledi.
Bu kodun neden dağıtıldığı sorulduğunda, %30'u telafi edici kontrollerin riski yeterince azalttığına inanıldığını ve %27'si ise bunun iş, özellik veya güvenlikle ilgili bir son teslim tarihini karşılamak için ertelendiğini söyledi. Bu arada, %27'lik bir kesim de koddaki güvenlik açığının dağıtım sonrasına kadar tespit edilmediğini söyledi.
Ankete göre, katılımcıların çoğu riskin yalnızca kod dağıtımıyla ilişkili bir şey olduğuna inanıyor gibi görünüyor: %30'u güvenlik açığının keşfedilmemesini umduklarını söylerken, yanıt verenlerin diğer %27'si güvenlik açığının düzeltilmesinin çok zor veya zaman alıcı olduğunu söyledi.
Detaylar ve Etkileri
Tüm bunlar, kuruluşların verimliliği artıran, aynı zamanda hatalar veya güvenlik açıkları içeren riskleri de içeren yapay zeka tarafından oluşturulan kodun kullanımını benimsediği bir zamanda gerçekleşiyor. Dolayısıyla yalnızca yapay zekaya dayalı bir yaklaşım, kuruluşları siber tehditlere karşı savunmasız bırakabilir.
Checkmarx CEO'su Sandeep Johri, "Bu rapor, kuruluşların karşı karşıya olduğu güvenlik krizi ile bu krizi çözmek için attıkları adımlar arasında büyük bir kopukluğa işaret ediyor. Tamamen yeni bir model gerekiyor" dedi.
Nasıl Önlem Alınmalı?
"Tıpkı öğrencinin kendi sınavına not veremeyeceği gibi, yapay zeka da tek başına kodu güvence altına alamaz - ve araştırmanın gösterdiği gibi, risk ekler. Kuruluşların, bir güvenlik açığını bulma ile onu daha iyi insan destekli iyileştirme yoluyla düzeltme arasındaki boşluğu kapatırken, yeni istismar edilebilir kalıpları belirlemek için deterministik hassasiyeti olasılıksal akıl yürütmeyle birleştiren güvenliğe ihtiyacı var" diye ekledi.
Devamını Okuyun: Mythos ve GPT-Cyber Gibi Fronter Yapay Zeka Modelleri Modern Siber Güvenlik İçin Ne Anlama Geliyor?
Araştırma aynı zamanda güvenlik açıklarını düzeltme ve iyileştirme konusundaki zorluklara da işaret etti. Kuruluşların yalnızca %9'u güvenlik açıklarının %90'ından fazlasını 90 gün içinde düzelttiklerini bildirirken, neredeyse üçte biri aynı zaman dilimi içinde güvenlik açıklarının yarısından azını düzelttiğini bildirdi.
Önemli Gelişmeler
Bu, özellikle yeni güvenlik açıklarının her zamankinden daha hızlı bir şekilde ortaya çıkarıldığı Mythos sonrası dönemde, kuruluşları siber tehditlere karşı savunmasız bırakıyor.
Raporda, "Bilinen bir güvenlik açığının yama yapılmadan beklediği her gün, kapının kilidinin açıldığı gündür. Bu istismarın ortalama süresi dakikalara düştü. Çoğu kuruluş hâlâ kapılarını aylarca ardına kadar açık bırakıyor" uyarısında bulundu.
Bununla birlikte makale, kuruluşların güvenlik süreçlerinin yapay zeka çağındaki güvenlik ihtiyaçlarını karşılama zorluğunu aşacağı konusunda iyimser olduğu sonucuna vardı.
Teknik Analiz
Kuruluşların uyguladığı çabalar arasında yönetişimin (özellikle yapay zeka etrafında) güçlendirilmesi ve araçlar, ekipler ve süreçler arasındaki parçalanmanın azaltılması yer alıyor.
Rapor, 14 ülkedeki kuruluşlardan 2350 CISO'nun, AppSec yöneticisinin ve geliştiricisinin yanıtlarına dayanıyordu.