Zafiyet Kullanımı, 19 Yıl Sonra İlk Kez Veri İhlallerinde En Büyük Giriş Vektörü Oldu Windows

Zafiyet Kullanımı, 19 Yıl Sonra İlk Kez Veri İhlallerinde En Büyük Giriş Vektörü Oldu

Verizon'un 19 yıllık DBIR raporu, zafiyet kullanımının ilk kez kimlik bilgisi hırsızlığını geçerek veri ihlallerinde en yaygın giriş vektörü olduğunu

Verizon'un 19 yıldır yayımladığı Veri İhlali Araştırmaları Raporu'na (DBIR) göre, zafiyet kullanımı ilk kez ele geçirilmiş kimlik bilgilerini geride bırakarak veri ihlallerinde en yaygın ilk erişim vektörü haline geldi. Rapora göre, geçen yıl yaşanan veri ihlallerinin neredeyse üçte biri (%31) zafiyet kullanımıyla başlarken, bu oran bir önceki yıl %20 seviyesindeydi. Kimlik bilgisi kötüye kullanımı ise %22'den %13'e geriledi.

Verizon, bu artışın tehdit aktörlerinin yapay zekayı daha fazla zafiyet bulmak ve kullanmak için kullanmaya başladığının bir göstergesi olabileceğini belirtti. Ancak sorun sadece sıfırıncı gün zafiyetleriyle sınırlı değil. Rapor, firmaların bilinen güvenlik açıklarını yeterince hızlı yamalamadığını ortaya koydu. CISA KEV kataloğunda listelenen kritik zafiyetlerin yalnızca %26'sı 2025 yılında kuruluşlar tarafından tamamen giderilirken, bu oran bir önceki yıl %38'di. Verizon, raporlama veri setindeki kritik zafiyet sayısının bir önceki yıla göre %50 arttığını belirtti.

Raporda yapay zeka tehditlerine de geniş yer verildi. Tehdit aktörlerinin ortalama olarak 15 farklı dokümante edilmiş teknikte yapay zeka kullandığı veya araştırdığı, bazı aktörlerin ise 40-50 teknik kullandığı belirtildi. Gölge yapay zeka (Shadow AI) da büyüyen bir kurumsal tehdit haline geldi; Verizon'un veri kaybı önleme (DLP) veri setinde tespit edilen en yaygın üçüncü 'kötü niyetli olmayan içerici eylemi' oldu ve geçen yıla göre dört kat artış gösterdi. Çalışanların %45'i artık kurumsal cihazlarında yönetilen veya yönetilmeyen yapay zeka araçlarını düzenli olarak kullanıyor.

Tedarik zinciri kaynaklı ihlaller yıllık bazda %60 artarak raporda kaydedilen tüm veri ihlallerinin neredeyse yarısını (%48) oluşturdu. Üçüncü taraf kuruluşların yalnızca %23'ü, bulut hesaplarındaki eksik veya yanlış yapılandırılmış çok faktörlü kimlik doğrulamayı (MFA) tamamen giderdi. Zayıf şifreler ve izin yanlış yapılandırmaları için ise bulguların %50'sinin çözülme süresi neredeyse sekiz aya ulaştı. Fidye yazılımı ihlallerinin payı %44'ten %48'e yükselirken, mağdurların %69'u fidye ödememeyi tercih ederek tehdit aktörlerinin kâr marjlarını daralttı.

Paylaş: