Verizon DBIR 2025: Güvenlik Açıkları Zafiyetleri, İlk Erişim Vektörü Olarak Çalıntı Kimlik Bilgilerini Geride Bıraktı Siber Güvenlik

Verizon DBIR 2025: Güvenlik Açıkları Zafiyetleri, İlk Erişim Vektörü Olarak Çalıntı Kimlik Bilgilerini Geride Bıraktı

Verizon DBIR 2025, güvenlik açıklarının çalıntı kimlik bilgilerini geride bırakarak en yaygın ilk erişim vektörü haline geldiğini ortaya koyuyor.

Verizon'un 19 yıldır yayımladığı Veri İhlali Araştırmaları Raporu'nun (DBIR) 2025 sürümü, siber tehdit ortamında önemli bir dönüm noktasına işaret ediyor. İlk kez neredeyse yirmi yıldır en yaygın ilk erişim vektörü olan çalınmış kimlik bilgileri, yerini güvenlik açığı istismarına bıraktı. Rapor, geçtiğimiz yıl meydana gelen veri ihlallerinin yaklaşık üçte birinin (%31) güvenlik açıklarının istismar edilmesiyle başladığını gösteriyor. Bu oran, bir önceki yılın raporundaki %20'lik paya kıyasla belirgin bir artışı temsil ediyor. Buna karşılık, kimlik bilgisi kötüye kullanımı oranı %22'den %13'e gerileyerek ikinci sıraya düştü.

Verizon, bu değişimin arkasında yapay zeka kullanımının etkili olabileceğini öne sürüyor. Tehdit aktörlerinin, yapay zeka destekli araçlarla daha fazla güvenlik açığı keşfedip istismar edebildiği belirtiliyor. Ancak raporda sıfırıncı gün açıkları kadar, bilinen zafiyetlerin yamalanmasındaki gecikmelerin de büyük bir sorun olduğu vurgulanıyor. Özellikle, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda listelenen kritik açıkların yalnızca %26'sının 2025 yılında kuruluşlar tarafından tamamen giderildiği, bu oranın 2024'te %38 olduğu belirtiliyor. Bu düşüşün, yama yükünün artmasından kaynaklandığı ifade ediliyor. Kuruluşların geçen yıla kıyasla %50 daha fazla kritik güvenlik açığını yamalamak zorunda kaldığı kaydediliyor.

AttackIQ Tehdit Odaklı Savunma Başkan Yardımcısı Jon Baker, kuruluşların yamaları önceliklendirmekte zorlandığını belirtiyor. "Güvenlik ekiplerinden daha fazla kritik sorunu düzeltmeleri isteniyor, ancak hangilerinin gerçekten bir ihlale yol açabileceğini bilmeleri gerekiyor. Kağıt üzerinde bir güvenlik açığı başka bir şeydir, ancak yanal hareket, fidye yazılımı dağıtımı veya veri hırsızlığına zincirlenebilen bir açık bambaşka bir şeydir" diyor. Mondoo Güvenlik Açığı Yönetimi Hizmetleri CSO'su Patrick Münch ise manuel düzeltme süreçlerinin yetersiz kaldığını vurguluyor: "Boşluğu başka bir tarayıcıyla kapatmazsınız. Bunu şeffaf, aracı yapay zeka ile kapatırsınız: kararlarda insan denetimi, düzeltme ve hafifletme uygulamalarında yapay zeka otomasyonu ve sorunun tespitinden çözüldüğünün doğrulanmasına kadar net bir denetim izi."

Detaylar ve Etkileri

Yapay zeka tehditleri, raporun diğer bölümlerinde daha belirgin hale geliyor. Rapora göre, medyan tehdit aktörü belgelenmiş 15 farklı teknikte yapay zeka kullandı veya araştırdı; bazı aktörler ise 40 ila 50 farklı teknikte yapay zekadan yararlandı. Gölge yapay zeka (shadow AI) da büyüyen bir kurumsal tehdit olarak öne çıkıyor. Verizon'un veri kaybını önleme (DLP) veri setinde tespit edilen en yaygın üçüncü "kötü niyetli olmayan içeriden eylem" haline gelen gölge yapay zeka, geçen yıla göre dört kat artış gösterdi. Çalışanların %45'i artık kurumsal cihazlarında yönetilen veya yönetilmeyen yapay zeka araçlarını düzenli olarak kullanıyor; bu oran geçen yıl %15'ti.

Gelecekte Ne Bekleniyor?

Raporun diğer bulguları arasında, mobil kullanıcıların sosyal mühendislik saldırılarına daha sık hedef olduğu yer alıyor. Kullanıcılar e-posta yoluyla gelen kimlik avı girişimlerini daha iyi tespit ederken, sesli mesaj ve kısa mesaj gibi mobil vektörlerde başarılı tıklama oranlarının e-postaya göre %40 daha yüksek olduğu belirtiliyor. İnsan faktörü, ihlallerin %62'sinde rol oynarken, bu oran geçen yıl %60'tı. Tedarik zinciri kaynaklı ihlaller ise yıllık bazda %60 artarak raporda kaydedilen tüm veri ihlallerinin neredeyse yarısını (%48) oluşturdu. Üçüncü taraf kuruluşların yalnızca %23'ü, bulut hesaplarındaki eksik veya yanlış yapılandırılmış çok faktörlü kimlik doğrulamayı (MFA) tamamen düzeltti. Zayıf parolalar ve izin yanlış yapılandırmaları için tespitlerin %50'sinin çözülme süresi neredeyse sekiz aya ulaştı.

Önemli Gelişmeler

Fidye yazılımı ihlallerindeki payı geçen yılki %44'ten %48'e yükselirken, mağdurların %69'u fidye ödememeyi tercih ederek tehdit aktörlerinin kâr marjlarını daralttı. Verizon DBIR 2025, kuruluşların yama yönetimi stratejilerini gözden geçirmeleri, yapay zeka kaynaklı tehditlere karşı hazırlıklı olmaları ve tedarik zinciri güvenliğini artırmaları gerektiğini net bir şekilde ortaya koyuyor. Özellikle bilinen güvenlik açıklarının hızlı ve etkili bir şekilde kapatılması, otomasyon ve yapay zeka destekli çözümlerle desteklenmelidir. Aksi takdirde, güvenlik açıklarının istismar edilmesiyle başlayan ihlallerin önümüzdeki yıllarda daha da artması beklenebilir.

Kaynak: infosecurity-magazine.com

Paylaş: