Son iki yılda şok edici bir gelişme yaşandı. Önde gelen bir sektör raporunda ankete katılan kuruluşların %51’inin güvenliği bir siber saldırı tarafından ele geçirildi. Evet yarıdan fazlası.
Ve bu, işletmelerin dağıtım yaptığı bir dünyada ortalama 53 farklı güvenlik çözümü dijital alanlarını korumak için.
Endişe verici mi? Kesinlikle.
Pentera tarafından görevlendirilen ve Global Surveyz Research tarafından yürütülen CISO’lar ve CIO’lar arasında yakın zamanda yapılan bir anket, bu gelişen savaş alanına ölçülebilir bir bakış sunarak, artan riskler ile siber güvenlik profesyonellerinin faaliyet gösterdiği sıkılaşan bütçe kısıtlamaları arasındaki keskin zıtlığı ortaya koyuyor.
Bu raporla Pentera, günümüzün pentest uygulamalarına ilişkin yıllık raporunu yayınlamak için bir kez daha pentestin durumunu mercek altına aldı. Kuzey Amerika, LATAM, APAC ve EMEA’dan tümü 1.000’den fazla çalışanı olan kuruluşlarda Başkan Yardımcısı veya C düzeyinde görev yapan 450 güvenlik yöneticisinin katılımıyla yürütülen rapor, kuruluş çapındaki modern güvenlik doğrulama uygulamalarının güncel bir resmini çiziyor.
Temel bulgular şunları içerir:
- Bir ihlalin etkisi yüksektir:
- %43’ü planlanmamış kesinti bildirdi
- %36’sı verilere maruz kaldığını bildirdi
- %31’i mali kayıp bildirdi
- Yönetim Kurulu (Yönetim Kurulu) siber konusunda daha bilinçli hale geldikçe, CISO’ların %50’sinden fazlası artık pentest raporlarını Yönetim Kurulu’yla paylaşıyor.
- BT ortamlarındaki değişim hızı ile güvenlik testlerinin sıklığı arasında dikkate değer bir boşluk varKuruluşların dijital varlıklarını uzun süre test edilmeden bırakıyor.
- Haftada ortalama 500 iyileştirme etkinliğiyle, Etkili önceliklendirme, güvenlik ekipleri için en önemli faktörlerden biridir.
Yatırımlara Rağmen Güvenlik İhlalleri Devam Ediyor
2024 raporu, işletmelerin ortalama 53 güvenlik çözümüne sahip olduğunu ancak Gizlilik, Bütünlük, Erişilebilirlik (CIA) üçlüsünü sürdürmekte zorlandıklarını ortaya koyuyor. Güvenlik politikaları ve uygulamaları kapsamında bu üçlü, bilgi sistemlerini ve verileri çeşitli tehditlerden koruyarak bilginin güvenli, güvenilir ve doğru kişilerin erişimine açık olmasını sağlar.
Ankete katılan CISO’ların %51’inin son iki yılda bir siber güvenlik ihlali yaşadığını kabul etmesi bu gerçeğin altını çiziyor. Bu tür ihlaller, planlanmamış kesintiler, verilerin açığa çıkması ve mali kayıplar dahil olmak üzere önemli operasyonel kesintilere yol açmıştır. İşletmelerin yalnızca %7’si bir ihlalden kaynaklanan önemli etkilerden kaçınılmıştır. Bu olaylar, güçlü siber güvenlik savunmalarına sahip olmanın önemini göstermektedir.
Kuruluşlar, BT altyapıları genelinde saldırıların neredeyse eşit dağılımıyla karşılaştı; uzak cihazlar, şirket içi ve bulut ortamları da dahil olmak üzere bu alanların her birinin düzenli olarak test edilmesi ve güvenliğinin sağlanması ihtiyacına işaret ediyor. Saldırı hedefi olarak bulutun artan profili diğer sektör raporlarıyla tutarlıdır. Crowdstrike’ın 2024 Küresel Tehdit Raporu, bulut izinsiz girişlerinde yıllık bazda %75’lik bir artış bildirdi. Önümüzdeki yıllarda daha fazla kuruluşun buluta geçiş çabalarında ilerleme kaydettikçe ve ağırlıklı olarak bulut veya bulut yerel dağıtımlara yöneldikçe bu rakamın artacağını tahmin ettiler.
Artan Yönetici ve Yönetim Kurulu Katılımı
Manşetlere yansıyan yüksek profilli ihlallerin ışığında, üst düzey siber güvenlik gözetiminde dikkate değer bir artış var. CISO’ların yarısından fazlası artık düzenli olarak sızma testi sonuçlarını yönetim kurullarına rapor ediyorSiber güvenliğin kurum açısından stratejik önemini vurguluyor. CISO’lar, siber güvenlik risklerini yönetici ekiplerine ve yönetim kurullarına daha iyi iletmenin bir yolu olarak sızma testi raporlarını giderek daha fazla kullanıyor.
Bunlara ek olarak, CISO’ların %31’i sızma testi sonuçlarını müşterilerle paylaşıyorÜçüncü taraf ve tedarik zinciri risklerinin yönetilmesinde şeffaflığın önemini kabul ederek. Bu uygulamayı benimsemek yalnızca güven oluşturmakla kalmaz, aynı zamanda siber güvenlik sorunları ve önlemleri konusunda açıklık kültürünü de teşvik eder.
Pentesting Açığının Kapatılması
Anket, BT ortamındaki değişikliklerin sıklığı ile güvenlik testlerinin temposu arasındaki endişe verici uçurumun altını çiziyor. Kuruluşların %73’ü üç ayda bir BT değişiklikleri yaptığını bildirirken, yalnızca %40’ı bu hızı pentest çalışmalarıyla karşılayabiliyor. Bu, kuruluşları uzun süre riske açık bırakır.
Ortalamadaişletmeler manuel sızma testine 164.400 $ ayırıyoryıllık BT güvenliği bütçelerinin %12,9’unu temsil ediyor. Kuruluşların %60’ının yılda en fazla iki kez sızma testi yaptığı göz önüne alındığında, bu büyük bir yatırımdır ve güvenlik duruşunun anlık değerlendirmesini sağlayan bir güvenlik faaliyeti için bütçenin büyük bir kısmıdır. BT dayanıklılığını artırmaya yönelik sızma testlerinin önemi göz önüne alındığında, ölçeklenebilir sürekli sızma testi sağlayan çözümleri düşünmeye değer.
Mükemmel Yama Gerçekçi Değil
İyileştirme faaliyetlerinin ötesinde güvenlik ekipleri, sınırlarını zorlayan çeşitli sorumluluklarla görevlendirilir.
Bu ortamda şirketler güvenlik olaylarıyla dolup taşmaktadır. İşletmelerin %60’ından fazlası haftada en az 500 iyileştirme gerektiren olayla karşılaştıklarını bildiriyor. yama mükemmelliği hiç bu kadar yakalanması zor olmamıştı. Önceliklendirme sanatının, güvenlik ekiplerinin kuruluşlarının iyi korunmasını sağlamak için öğrenmesi gereken bir sanat olduğu giderek daha açık hale geliyor. Bir güvenlik açığının içeriğini, telafi edici kontrollerini ve bunun yol açtığı verileri etkili bir şekilde anlayabilen güvenlik ekipleri oyunda kalacak olanlar olacaktır.
Bu Bulgular Ne Anlama Geliyor?
Pentera’nın 2024 Sızma Testi Durumu Araştırması, siber güvenlik için kritik bir dönemecin altını çiziyor: Tehditler gelişmeye devam ettikçe, birçok güvenlik çözümü bunları hafifletmekte başarısız oluyor ve CISO’ların altyapılarının güvenliğini daha tutarlı bir şekilde doğrulamasını gerektiriyor.
Bu anketten elde edilen bilgiler yalnızca istatistik değildir; bunlar, çağımızın finansal ve operasyonel gerçekleriyle uyumlu daha iyi, daha verimli siber güvenlik uygulamaları için bir eylem çağrısıdır.
2024 Sızma Testinin Durumu Araştırması’nın önemli bulgularını bu makalede açıklayın web semineri. Bulguları incelerken, siber güvenliği yönetmeye yönelik stratejileri tartışırken, görevleri önceliklendirirken ve güvenlik duruşunuzu liderlere nasıl daha etkili bir şekilde ileteceğinizi öğrenirken bize katılın.
İndir 2024 Sızma Testi Durumu Araştırması veya buraya kaydolun canlı web seminerine katılmak için.