Küresel siber güvenlik pazarı gelişiyor. Gartner’daki uzmanlar, bilgi güvenliği ve risk yönetimi pazarı için son kullanıcı harcamalarının 2022’de 172,5 milyar dolardan 2026’da 267,3 milyar dolara çıkacağını tahmin ediyor.
Büyük bir harcama alanı, genellikle güvenlik testi olarak bilinen siber güvenlik savunmalarını baskı altına alma sanatını içerir. MarketsandMarkets, küresel penetrasyon testi (pentesting) pazar büyüklüğünün 2022’den 2027’ye kadar %13,7 Bileşik Yıllık Büyüme Oranında (CAGR) büyümesinin beklendiğini tahmin ediyor. Ancak, bir penetrasyon testi gerçekleştirmenin içerdiği maliyetler ve sınırlamalar zaten pazarı engelliyor büyüme ve sonuç olarak, birçok siber güvenlik uzmanı alternatif bir çözüm bulmak için harekete geçiyor.
Pentesting, işletmeler için belirli ve önemli amaçlara hizmet edebilir. Örneğin, potansiyel müşteriler uygunluk kanıtı olarak birinin sonuçlarını isteyebilir. Ancak, belirli zorluklar için bu tür güvenlik testi metodolojisi her zaman en uygun olanı değildir.
Hızla gelişen tehdit ortamlarında sürekli değişen ortamların güvenliğini sağlamak özellikle zordur. Bu zorluk, yeni projelerin veya yayınların iş riskini hizalarken ve yönetirken daha da karmaşık hale gelir. Sızma testleri zaman içinde bir ana odaklandığından, bir sonraki güncellemenizde sonucun mutlaka aynı olması gerekmez.
Hızla büyüyen işletmelerin büyüme sancıları yaşamaması olağandışı olurdu. CISO’lar için, kuruluşlarının genişleyen saldırı yüzeyinin görünürlüğünü korumak özellikle acı verici olabilir.
HelpNetSecurity’ye göre, yanıt verenlerin %45’i yılda yalnızca bir veya iki kez pentest yapıyor ve %27’si bunu üç ayda bir yapıyor; bu, altyapı ve uygulamaların ne kadar hızlı değiştiği göz önüne alındığında son derece yetersiz kalıyor.
Bütçe ve kaynaklardaki sınırlamaların yanı sıra, dahili siber güvenlik ekipleri için mevcut beceri setlerini bulmak da devam eden bir mücadeledir. Sonuç olarak, kuruluşlar belirli güvenlik açıklarını tespit etme ve derhal düzeltme becerisine sahip değildir.
Pentestler dışarıdan bir bakış açısı sunabilirken, genellikle testi sadece bir kişi yapar. Bazı kuruluşlar için, yalnızca bir veya iki kişinin çalışmasına güvenildiğinde de bir güven sorunu vardır. CM.com CISO’su Sándor Incze, kendi bakış açısını sunuyor:
“Bütün pentesterler eşit değildir. İşe aldığınız pentesterin iyi olup olmadığını belirlemek çok zor.”
En son siber saldırı teknikleri ve trendlerinden haberdar olmak için verilen sürekli mücadele, medya kuruluşlarını riske atıyor. Her yeni siber tehdit türü için uzman becerilerin işe alınması gerçekçi ve sürdürülemez olacaktır.
HelpNetSecurity, pentestçilerin yüzde 71’inin bir pentest gerçekleştirmesinin bir hafta ila bir ay sürdüğünü bildirdi. Ardından, kuruluşların yüzde 26’sından fazlasının test sonuçlarını almak için bir ila iki hafta arasında beklemesi gerekiyor ve yüzde 13’ü bundan daha uzun süre beklemek zorunda. Tehdit gelişiminin hızlı temposu göz önüne alındığında, bu bekleme süresi şirketleri potansiyel güvenlik sorunlarından habersiz ve istismara açık bırakabilir.
Sürekli geliştirme yaşam döngüleri, sızma testi döngüleriyle (genellikle yıllık olarak gerçekleştirilir) uyumlu değildir. Bu nedenle, uzun güvenlik testi boşlukları sırasında yanlışlıkla oluşturulan güvenlik açıkları bir süre keşfedilmeden kalabilir.
Bu zorluklara kanıtlanmış bir çözüm, standart bir penetrasyon testine ek olarak etik hacker topluluklarından yararlanmaktır. İşletmeler, güvenlik testlerinde sürekli olarak onlara yardımcı olması için bu kitlelerin gücüne güvenebilir. Hata ödül programı, etik hacker topluluklarıyla çalışmanın en yaygın yollarından biridir.
Hata ödül programları, işletmelerin teşvik yoluyla hataları bildirmek için bağımsız güvenlik araştırmacılarıyla proaktif bir şekilde çalışmasına olanak tanır. Genellikle şirketler, programlarını aşağıdaki gibi bir hata ödül platformu aracılığıyla başlatır ve yönetir: Intigriti.
Yüksek güvenlik olgunluğuna sahip kuruluşlar, hata ödül programlarını platform topluluğundaki tüm etik korsanların katkıda bulunmaları için açık bırakabilir (genel program olarak bilinir). Bununla birlikte, çoğu işletme, özel bir program aracılığıyla daha küçük bir güvenlik yeteneği havuzuyla çalışmaya başlar. .
Bir sızma testinin sonunda güvende olduğunuzu belirten bir sertifika alacaksınız, ancak bu, bir sonraki güncelleme yaptığınızda durumun yine de böyle olacağı anlamına gelmez. Bu, hata ödül programlarının, pentestlerin takibi olarak iyi çalıştığı ve sürekli bir güvenlik testi programını etkinleştirdiği yerdir.
Bir hata ödül programı başlatarak, kuruluşlar şunları deneyimler:
Intigriti, hata ödülü ve etik korsanlık için Avrupa merkezli lider platformdur. Platform, Intigriti’nin güvenlik araştırmacıları ağının dijital varlıklarını güvenlik açıkları için sürekli olarak test etmesine izin vererek kuruluşların siber saldırı riskini azaltmasını sağlar.
Okuduklarınız ilginizi çekiyorsa ve hata ödül programları hakkında bilgi edinmek istiyorsanız, takvim bugün uzmanlarımızdan biriyle bir toplantı.
www.intigriti.com
siber-2