zprávy

Stav penetračního testování v roce 2025: Proč je bezpečnostní validace řízená umělou inteligencí nyní strategickým imperativem

Zveřejněno May 7, 2025

Antoine Tardif, Generální ředitel a zakladatel Unite.AI

Jedno Zpráva o stavu penetračního testování za rok 2025 od Pentery vykresluje působivý obraz kybernetické bezpečnosti, která je v obležení – a rychle se vyvíjí. Není to jen příběh o obraně digitálních hranic; je to plán toho, jak podniky transformují svůj přístup k bezpečnosti, poháněné automatizací, nástroji založenými na umělé inteligenci a neustálým tlakem reálných hrozeb.

Narušení přetrvávají i přes větší bezpečnostní opatření

Navzdory zavádění stále složitějších bezpečnostních systémů 67 % amerických podniků uvedlo, že v posledních 24 měsících došlo k narušení bezpečnosti. Nejednalo se ani o drobné incidenty – 76 % uvedlo přímý dopad na důvěrnost, integritu nebo dostupnost dat a 36 % zaznamenalo neplánované výpadky, zatímco 28 % čelilo finančním ztrátám.

Korelace je jasná: s rostoucí složitostí bezpečnostních systémů roste i počet upozornění – a tím i počet narušení bezpečnosti. Podniky používající více než 100 bezpečnostních nástrojů zaznamenaly v průměru 3,074 76 upozornění týdně, zatímco ty, které používaly 100–2,048 nástrojů, čelily XNUMX XNUMX upozorněním týdně.

Tato lavina dat však často zahlcuje bezpečnostní týmy, zpožďuje reakční dobu a umožňuje skutečným hrozbám proklouznout skrz skuliny.

Pojištění kybernetické bezpečnosti formuje přijetí technologií

Kybernetické pojišťovny se staly nečekanými hybateli inovací v oblasti kybernetické bezpečnosti. Úžasných 59 % amerických podniků zavedlo nové bezpečnostní nástroje konkrétně na žádost své pojišťovny a 93 % ředitelů informační bezpečnosti uvedlo, že pojišťovny ovlivnily jejich bezpečnostní postoje. V mnoha případech tato doporučení šla nad rámec dodržování předpisů – formovala technologickou strategii.

Vzestup softwarového penetračního testování

Manuální penetrační testování již není standardní metodou. Více než 55 % organizací se nyní v rámci svých interních programů spoléhá na softwarové penetrační testování, dalších 49 % využívá externí poskytovatele. Naproti tomu pouze 17 % se stále spoléhá výhradně na interní manuální testování.

Tento přechod na automatizované adversární testování odráží širší trend: potřebu škálovatelného, opakovatelného a v reálném čase validace v době neustále se vyvíjejících hrozeb. Tyto automatizované platformy simulují útoky od malwaru bez souborů až po eskalaci oprávnění, což podnikům umožňuje průběžně a bez přerušení posuzovat jejich odolnost.

Rozpočty na bezpečnost rychle rostou

Zabezpečení sice nezlevňuje, ale organizace mu i tak dávají přednost. Průměrný roční rozpočet na penetrační testování je 187,000 10.5 dolarů, což představuje 10,000 % celkových výdajů na IT bezpečnost. Větší podniky (s více než 216,000 XNUMX zaměstnanci) utrácejí ještě více – v průměru XNUMX XNUMX dolarů ročně.

V roce 2025 plánuje 50 % podniků zvýšit své rozpočty na penetrační testování a 47.5 % očekává nárůst celkových výdajů na bezpečnost. Pouze 10 % očekává pokles investic. Tato čísla zdůrazňují, že se bezpečnost z provozní nutnosti stala prioritou představenstva.

Bezpečnostní testování stále dohání zameškané

Zde je zarážející nesoulad: 96 % podniků hlásí změny infrastruktury alespoň čtvrtletně, ale pouze 30 % provádí penetrační testování se stejnou frekvencí. Výsledkem je, že nové zranitelnosti proklouznou netestovanými změnami a s každým nasazením softwaru nebo aktualizací konfigurace rozšiřují oblast útoku.

Pouze 13 % velkých podniků s více než 10,000 XNUMX zaměstnanci provádí čtvrtletní penetrační testy. Téměř polovina z nich přitom stále testuje pouze jednou ročně – což je v dnešním dynamickém prostředí hrozeb nebezpečné zpoždění.

Sladění rizik je ostřejší než kdy dříve

Povzbudivé je, že bezpečnostní lídři zaměřují testování tam, kde k narušení bezpečnosti skutečně dochází. Téměř 57 % upřednostňuje webová aktiva, následovaná interními servery, API, cloudovou infrastrukturou a zařízeními IoT. Toto sladění odráží rostoucí povědomí o tom, že útočníci nediskriminují – využívají jakoukoli dostupnou zranitelnost napříč celou plochou útoku.

Zejména API se stala vysoce prioritním cílem, a to jak pro útočníky, tak pro obránce. Tato rozhraní jsou stále důležitější pro obchodní operace, ale často jim chybí přehled a standardní monitorování, což je činí zralou volbou pro zneužití.

Operacionalizace výsledků pentestu

Zprávy o pentestech se již neodkládají. Místo toho 62 % podniků okamžitě předává zjištění oddělení IT k stanovení priorit nápravných opatření, zatímco 47 % sdílí výsledky s vrcholovým managementem a 21 % podává zprávy přímo svým představenstvům nebo regulačním orgánům.

Tento posun směrem k akci odráží hlubší integraci penetračního testování do strategického řízení rizik – nejen do kontroly shody s předpisy. Bezpečnostní validace se stává součástí obchodních rozhovorů.

Co brzdí ještě rychlejší pokrok?

Ačkoli jsou trendové linie pozitivní, klíčové brzdy přetrvávají. Dvěma největšími překážkami častějšího pentestrování jsou rozpočtová omezení (44 %) a nedostatek dostupných pentesterů (48 %) – druhý jmenovaný odráží Celosvětově chybí 4 miliony odborníků na kybernetickou bezpečnost, uvádí Světové ekonomické fórum.

Provozní riziko, jako je strach z výpadků během testování, zůstává problémem pro 30 % CISO.

Od povinnosti dodržování předpisů ke strategické zbrani

Pentesting se vyvinul daleko za hranice svých počátků jako regulační požadavek. Dnes podporuje strategické iniciativy, včetně due diligence v oblasti fúzí a akvizic a rozhodování na úrovni vedení. Téměř třetina respondentů nyní uvádí jako klíčové důvody pro provádění pentestů „mandát vedení“ a „přípravu na fúze a akvizice“.

To představuje zásadní transformaci: od reaktivní kontroly k proaktivnímu a průběžnému měření kybernetické odolnosti.

Závěrečné myšlenky

Jedno Zpráva o stavu penetračního testování za rok 2025 je víc než jen aktualizace stavu – je to budíček. S rostoucími plochami pro útoky a sofistikovanějšími aktéry hrozeb si organizace již nemohou dovolit pomalé, manuální nebo izolované přístupy k bezpečnostnímu testování. Penetrační testování s využitím umělé inteligence a softwaru se snaží tuto mezeru překlenout rychlostí, rozsahem a přehledem.

Organizace, které v této nové éře prosperují, budou ty, které budou validaci zabezpečení považovat nejen za technickou nutnost, ale za strategický imperativ.

Pro více informací si stáhněte plnou verzi Zpráva o stavu penetračního testování za rok 2025 z Pentery.

Související témata:zatěžující zprávy Zprávy

Nahoru Další

Když se umělá inteligence obrátí proti nim: Zpráva Enkrypt AI odhaluje nebezpečné zranitelnosti v multimodálních modelech

Nenechte si ujít

Jak podvodníci používají AI při bankovních podvodech

Antoine Tardif

Antoine je vizionářský vůdce a zakládající partner Unite.AI, poháněný neochvějnou vášní pro utváření a prosazování budoucnosti umělé inteligence a robotiky. Je sériovým podnikatelem a věří, že umělá inteligence bude pro společnost stejně rušivá jako elektřina, a často je přistižen při blouznění o potenciálu převratných technologií a AGI.

Jako futurista, věnuje se zkoumání toho, jak tyto inovace utvářejí náš svět. Kromě toho je zakladatelem Cenné papíry.io, platforma zaměřená na investice do špičkových technologií, které nově definují budoucnost a přetvářejí celé sektory.

Unite.AI