2024'ün en önemli beş siber güvenlik ve bulut yerel teknoloji trendi nedir? Geliştiricilerin ve bilgisayar korsanlarının sayısının 1000 kat artması, yapay zeka zehirlenmesi saldırıları ve sertifikayla ilgili arızalar güvenlik sektörü için zorluklar yaratacak.
Makine kimlik yönetimi üreticisi Venafi, bugün 2024 siber güvenlik ve bulut tabanlı ortam tahminlerini açıkladı. Yapay zeka yeni tehditler oluşturuyor ve mevcut riskleri artırıyor, makine kimliklerinin ömrü kısalıyor ve kodların gerçekliği daha sıkı incelemeye tabi tutuluyor. Sonuç olarak önümüzdeki yıl güvenlik sektörü için zorlu geçecek.
Venafi Ekosistem ve Topluluktan Sorumlu Başkan Yardımcısı Kevin Bocek, "2023 yılında şirketler bir yapay zeka inovasyonu dalgası yaşadı ancak yeni kullanım senaryolarını denemeye başladıkça riskler arttı ve yeni tehditler ortaya çıktı" dedi. “Yapay zeka zehirlenmesi ve modelden kaçış gibi yeni tehditler ortaya çıkarken, devasa üretken yapay zeka kodu dalgaları geliştiriciler ve acemiler tarafından henüz anlaşılmayan şekillerde istismar ediliyor. Ek olarak, yapay zeka ve makine öğrenimi yerel bulut altyapılarında çalışarak Kubernetes gibi teknolojilerin kullanımını saldırganlar için daha da büyük bir hedef haline getiriyor. Bu sorunlar, ele alınmadığı takdirde 2024 ve sonrasında büyük güvenlik etkilerine sahip olacak."
2024 için en önemli beş tahmin
1. 2024 yılında “1000x geliştirici” ile “1000x hacker” birleşerek güvenlik ihlalleri için ideal çerçeveyi oluşturacak.
“Geliştiricileri yapay zeka yoluyla bin kat daha üretken hale getirmeyi amaçlayan '1000x Geliştirici' hareketinin ardındaki büyüyen ivme, önümüzdeki yıl güvenlik sorunlarını daha da artıracak. Modern ortamların güvenliğinin sağlanmasının hızı ve karmaşıklığı oldukça yüksektir. Kuruluşlar halihazırda zorluklarla karşı karşıyadır: BT ve güvenlik liderlerinin yüzde 75'i Kubernetes ve konteynerlerin hızının ve karmaşıklığının yeni güvenlik açıkları yarattığına inanırken, katılımcıların yüzde 59'u Kubernetes veya konteyner ortamlarında güvenlikle ilgili sorunlar yaşadıklarını itiraf ediyor.
BT ve güvenlik liderlerinin yüzde 75'i Kubernetes ve konteynerlerin hızının ve karmaşıklığının yeni güvenlik açıkları yarattığına inanıyor...
Durumu daha da karmaşık hale getiren şey ise "1000 katlı hacker"ın (aynı derecede üretken ve güçlü, yapay zeka destekli saldırganlar) yükselişidir. Şirketlerin bu tehditlerle rekabet etmek için 1000 siber profesyoneli işe alması mümkün değil. Çözüm, makine hızında çalışan otomasyonun gücünü benimsemektir. Tehditlere ayak uydurmanın tek yolu otomasyonu makine hızında dağıtmaktır. Geliştiriciler yapay zekayı 1000 kat daha üretken olmak için kullandıklarında, aynı zamanda 1000 kat CISO ve 1000 kat güvenlik mimarına da ihtiyacımız var." – Kevin Bocek, Venafi Ekosistem ve Topluluktan Sorumlu Başkan Yardımcısı
2. 2024, seçimlerin hedef olması nedeniyle yapay zeka zehirlenmesi saldırısı için kritik yıl olacak.
“2024 yılında yapay zeka zehirlenmesi saldırıları yazılım tedarik zincirine yönelik yeni tehditler olacak. Bu saldırılar, verileri manipüle etmek ve hem yapay zeka modellerini hem de ürettikleri sonuçları zehirlemek için giriş ve çıkış veri hatlarını hedef alan saldırganlarla karakterize edilir. Yapay zeka, iş açısından kritik çok çeşitli iş yüklerinde (potansiyel olarak çok az gözetimle) kullanıldığından, bu tür sistemlerin bütünlüğü son derece önemlidir. Giriş verilerindeki küçük değişiklikler bile sonuçları anında veya zaman içinde yavaş yavaş önemli ölçüde etkileyebilir. Bu nedenle yapay zekaya beslenen tüm verilerin güvenliğinin sağlanması çok önemlidir. Bu, verinin kaynağının takip edilmesi ve verinin güvenliğinin sağlanması için kod imzalama gibi teknolojilerin kullanılması gerektiği anlamına gelir.
Büyük küresel seçimlerle aynı zamana denk gelen 2024 yılında üretken yapay zekanın yaygın biçimde benimsenmesinin, seçim müdahalelerinde önemli bir artışa yol açması bekleniyor. İkna edici deepfake'lerin yaratılmasından hedeflenen yanlış bilgilerin yayılmasına kadar güven, kimlik ve hatta demokrasi kavramı ciddi bir inceleme altındadır. Bu, bireylerin eleştirel düşünme ve bilinçli kararlar verme sorumluluğunun artması anlamına gelecektir. Aynı şekilde, medya platformlarının da sahte içerikle aktif olarak mücadele etmesi ve bunları ortadan kaldırması gerekiyor." – Shivajee Samdarshi, Venafi'nin kıdemli ürün müdürü
3. Gelecek yıl, veri ihlallerine ilişkin sorumluluktaki değişiklikler inovasyonu etkileyebileceğinden, düzenlemeler geliştirme sürecine daha fazla müdahale edecek.
“Gelecek yıl, AB muhtemelen Siber Dayanıklılık Yasasını mevcut haliyle uygulanamaz olduğu için revize etmek zorunda kalacak. Veri koruma ihlallerine ve açık kaynağa ilişkin sorumlulukla ilgili kanunun ifadesi özellikle endişe vericidir. Şu anki haliyle, açık kaynak kodu oluşturan ve ödül olarak yalnızca kahve alan 16 yaşındaki bir geliştirici, kodunu kullanan bir kuruluşun veri ihlaline uğraması durumunda teorik olarak sorumlu tutulabilir. Bu nedenle, AB'de açık kaynak kod geliştiren kişilerin katkıda bulunmaya devam edebilmelerini sağlamak için sorumluluk hükümlerine ilişkin yasanın açıklığa kavuşturulması gerekmektedir.
Siber Dayanıklılık Yasası: Şu anda taslak halinde olduğu haliyle, açık kaynak kodu oluşturan ve ödül olarak yalnızca kahve alan 16 yaşındaki bir geliştirici teorik olarak sorumlu tutulabilir...
2024 yılına baktığımızda, SBOM'lara ilişkin Kararname gibi düzenlemelerle desteklenen “Kodunuzu Bilin” konusu giderek önem kazanacaktır. Bu, şirketlerin kullandıkları kodun kaynağını belirlemeleri ve doğrulamaları gerektiği anlamına gelir. Yapay zekanın kod üretmek için kullanıldığı bir çağda, kodun kökenini belirlemek her zamankinden daha zor. Bu prensibe uymayan şirketler yalnızca saldırılarla değil, aynı zamanda olası para cezalarıyla da karşı karşıya kalıyor." – Matt Barker, Venafi Bulut Yerel Hizmetleri Küresel Başkanı.
4. Kuruluşlar güvenliği ve yönetimi güven sınırlarının ötesinde ölçeklendirmeye çalışırken, 2024'te makine kimliği ve erişim yönetimi iş yükü katmanına odaklanacak.
"Araştırmalar, BT liderlerinin yüzde 76'sının maliyet ve güvenlik açısından bulut faturasına doğru ilerlediğimize inandığını gösteriyor. Pek çok kuruluş yolculuğuna tek bir bulut sağlayıcısıyla başladı ve kimlik ve erişimi yalnızca bu tek ortam içerisinde yönetmelerini gerektirdi. Ancak yüzde 69'u buluta geçerken birçok eski güvenlik sorununu da beraberlerinde götürdüklerini itiraf ediyor. Kuruluşlar olgunlaştıkça bulutu, tüm kimliklerin yönetilmesini gerektiren birden fazla güven sınırı boyunca dağıtılmış bir şekilde kullanmaya başladılar.
2024'teki zorluk, güvenlik kontrollerinin her yerde çalışmasını ve tutarlı bir şekilde yönetilebilmesini sağlamaktır. Bu, makine kimliklerini ve erişim kontrolünü yönetmeye yönelik tarafsız, merkezi olmayan bir yönteme stratejik bir geçiş gerektirir. Bu değişiklik, iş yükü düzeyinde kimlik ve erişim kimlik doğrulamasını etkinleştirir. Sonuç olarak SPIFFE makine kimlikleri gibi birleşik kimliklerin benimsenmesi artacaktır. Kuruluşlar daha sonra, nerede çalıştıklarına bakılmaksızın iş yüklerini güçlü bir şekilde şifrelemek için mevcut genel anahtar altyapılarından yararlanabilirler." – Sitaram Iyer, Venafi Bulut Yerel Çözümleri Kıdemli Direktörü.
5. Makine kimliklerinin ömrü kısaldıkça arızalar 2024 yılına kadar iki katına çıkacak.
"Makine kimliklerinin daha kısa ömrü kaosa neden olabilir, çünkü arızalar iki, hatta üç katına çıkabilir. Google, halka açık güvenilir TLS sertifikalarının geçerlilik süresini 90 güne kısaltacağını zaten duyurdu; bu, siber suçluların kimlikleri kötüye kullanmasını zorlaştırmak için önemli bir adım. Ancak çoğu şirket buna hazırlıklı değil. Sertifikaların temerrütünün en son etkilerini, tüm ödeme sistemlerinin çöktüğü ve insanların artık arabalarını dolduramadığı veya yiyecek satın alamadığı zaman gördük. Sertifika ömürleri kısalmaya devam ettikçe, kuruluşlar makine kimlik yönetimini otomatikleştirmedikçe bu durum daha yaygın hale gelecektir." – Kevin Bocek, Venafi Ekosistem ve Topluluktan Sorumlu Başkan Yardımcısı.
Daha fazlası Venafi.com'da
Venafi Hakkında Venafi, makine kimlik yönetimi için siber güvenlik lideridir. Temelden buluta, Venafi çözümleri, fiziksel ve IoT cihazlarından yazılım uygulamalarına, API'lere ve konteynerlere kadar her tür makine için kimlikleri yönetir ve korur. Venafi, her tür makine kimliği ve bunlarla ilişkili güvenlik ve güvenilirlik riskleri için küresel görünürlük, yaşam döngüsü otomasyonu ve eyleme geçirilebilir zeka sağlar.