Verizon’un 19 yıldır yayımladığı Data Breach Investigations Report (DBIR), 2025 sürümünde çarpıcı bir değişime işaret ediyor: Güvenlik açıklarından yararlanma, çalınan kimlik bilgilerini geride bırakarak veri ihlallerinde en yaygın ilk erişim vektörü haline geldi. Rapora göre, geçtiğimiz yıl yaşanan veri ihlallerinin neredeyse üçte biri (%31) güvenlik açıklarının kullanılmasıyla başladı. Bu oran, bir önceki yıl %20 seviyesindeydi. Kimlik bilgisi kötüye kullanımı ise %22’den %13’e gerileyerek ikinci sıraya düştü. Bu değişim, siber güvenlik dünyasında önemli bir paradigma kaymasını işaret ediyor.
Verizon, bu artışın arkasında yapay zekanın (AI) tehdit aktörleri tarafından daha fazla kullanılmasının olabileceğini belirtiyor. AI, güvenlik açıklarını tespit etme ve istismar etme süreçlerini hızlandırarak saldırganlara avantaj sağlıyor. Ancak raporda sadece sıfırıncı gün (zero-day) açıklarına odaklanılmadı; bilinen kusurların yamalanmasındaki gecikmeler de büyük bir sorun olarak öne çıkıyor. Örneğin, CISA’nın Known Exploited Vulnerabilities (KEV) kataloğunda listelenen kritik güvenlik açıklarının yalnızca %26’sı 2025 yılında kuruluşlar tarafından tamamen düzeltilebildi. Bu oran, bir önceki yıl %38’di. Dahası, kuruluşların yamalaması gereken kritik açıkların sayısı bir önceki yıla göre %50 arttı.
AttackIQ’nun tehdit odaklı savunma başkan yardımcısı Jon Baker, kuruluşların yamaları önceliklendirmede zorlandığını vurguluyor: “Güvenlik ekiplerinden daha fazla kritik sorunu düzeltmeleri isteniyor, ancak hangilerinin gerçekten bir ihlale yol açabileceğini bilmeleri gerekiyor. Kâğıt üzerinde bir güvenlik açığı başka, yanal hareket, fidye yazılımı veya veri hırsızlığına zincirlenebilen bir açık bambaşkadır.” Mondoo’nun CSO’su Patrick Münch ise manuel düzeltme süreçlerinin yetersiz kaldığını belirterek, “Boşluğu başka bir tarayıcıyla kapatamazsınız; şeffaf, ajan tabanlı AI ile kapatırsınız: kararlarda insan denetimi, düzeltme ve hafifletmede AI otomasyonu ve sorunu tespit etmekten çözüldüğünü doğrulamaya kadar net bir denetim izi,” diyor.
Detaylar ve Etkileri
DBIR raporunda AI tehditleri daha belirgin bir şekilde yer alıyor. Rapora göre, medyan tehdit aktörü, belgelenmiş 15 farklı teknikte AI kullandı veya yardım aldı; bazı aktörler ise 40-50 farklı teknikte AI’dan faydalandı. Gölge AI (Shadow AI) da hızla büyüyen bir kurumsal tehdit haline geldi. Verizon’un veri kaybını önleme (DLP) veri setinde tespit edilen “kötü niyetli olmayan içeriden kaynaklanan eylemler” arasında üçüncü sıraya yükselen gölge AI, geçen yıla göre dört kat artış gösterdi. Çalışanların %45’i artık kurumsal cihazlarında yönetilen veya yönetilmeyen AI araçlarını düzenli olarak kullanıyor; bu oran geçen yıl %15’ti.
Nasıl Önlem Alınmalı?
Sosyal mühendislik saldırıları da mobil kullanıcıları daha fazla hedef alıyor. Kullanıcılar e-posta yoluyla gelen kimlik avı girişimlerini daha iyi tespit ederken, sesli ve mesajlaşma gibi mobil vektörlerde başarı oranı %40 daha yüksek. “İnsan faktörü” ihlallerin %62’sinde rol oynadı (geçen yıl %60). Tedarik zinciri kaynaklı ihlaller yıllık %60 artışla tüm ihlallerin neredeyse yarısını (%48) oluşturdu. Bulut hesaplarında çok faktörlü kimlik doğrulamanın (MFA) eksik veya yanlış yapılandırıldığı durumlarda, üçüncü taraf kuruluşların yalnızca %23’ü sorunu tamamen düzeltebildi. Zayıf parolalar ve izin yanlış yapılandırmaları için ise bulguların %50’sinin çözülmesi neredeyse sekiz ay sürdü.
Önemli Gelişmeler
Fidye yazılımı saldırılarının payı geçen yılki %44’ten %48’e yükselirken, mağdurların %69’u ödeme yapmamayı tercih etti. Bu durum, tehdit aktörlerinin kâr marjlarını daraltıyor. Tüm bu veriler, kuruluşların güvenlik açığı yönetimini, yapay zeka tehditlerini ve tedarik zinciri güvenliğini acilen yeniden değerlendirmeleri gerektiğini gösteriyor. Yamalama süreçlerinin otomasyonu ve önceliklendirilmesi, AI tabanlı savunma mekanizmalarının entegrasyonu ve çalışan eğitiminin mobil vektörleri de kapsayacak şekilde genişletilmesi, önümüzdeki dönemde kritik önem taşıyacak.
Kaynak: infosecurity-magazine.com