Connect with us

Stav penetračního testování v roce 2025: Proč je validace zabezpečení poháněná umělou inteligencí nyní strategickou nutností

Kybernetická bezpečnost

Stav penetračního testování v roce 2025: Proč je validace zabezpečení poháněná umělou inteligencí nyní strategickou nutností

mm
Published
Updated

Zpráva 2025 State of Pentesting Survey Report od Pentera maluje působivý obraz kyberbezpečnostního prostředí pod útokem – a rychle se vyvíjejícího. Tato zpráva není jen o obraně digitálních hranic; je to modrotisk transformace přístupu podniků k zabezpečení, poháněné automatizací, nástroji založenými na umělé inteligenci a neutuchajícím tlakem reálných hrozeb.

Protržení i přes větší bezpečnostní balíky

Přes nasazení stále složitějších bezpečnostních balíků uvedlo 67 % amerických podniků, že v posledních 24 měsících došlo k protržení. Tyto incidenty nebyly zanedbatelné – 76 % uvedlo přímý dopad na důvěrnost, integritu nebo dostupnost dat a 36 % zažilo neplánované výpadky, zatímco 28 % čelilo finančním ztrátám.

Korelace je zřejmá: jak roste složitost balíku, tak roste počet upozornění – a protržení. Podniky, které používají více než 100 bezpečnostních nástrojů, zaznamenaly v průměru 3 074 týdenních upozornění, zatímco ty, které používají mezi 76–100 nástroji, čelily 2 048 týdenním upozorněním

Avšak tato lavina dat často zahlcuje bezpečnostní týmy, zpomaluje reakční časy a umožňuje skutečným hrozbám proklouznout mezi trhliny.

Pojišťovna kybernetické bezpečnosti formuje přijetí technologií

Pojišťovny kybernetické bezpečnosti se staly neočekávanými pohony inovací kybernetické bezpečnosti. Údajných 59 % amerických podniků implementovalo nové bezpečnostní nástroje speciálně na žádost svého pojišťovatele a 93 % CISO uvedlo, že pojišťovny ovlivnily jejich bezpečnostní postoje. V mnoha případech tyto doporučení přesáhly soulad – formovaly technologickou strategii.

Vzestup softwarového penetračního testování

Ruční penetrační testování již není výchozím stavem. Více než 55 % organizací se nyní spoléhá na softwarové penetrační testování uvnitř svých interních programů, zatímco dalších 49 % využívá externích poskytovatelů. Naproti tomu pouze 17 % se stále spoléhá pouze na interní manuální testování.

Tento přechod k automatizovanému adversariálnímu testování odráží širší trend: potřebu měřitelné, opakované a reálné validace v éře neustále se vyvíjejících hrozeb. Tyto automatizované platformy simulují útoky od file-less malware až po privilege escalation, umožňují podnikům kontinuálně a bez přerušení hodnotit svou odolnost.

Bezpečnostní rozpočty rostou – rychle

Bezpečnost se nestává levnější, ale organizace ji stejně prioritizují. Průměrný roční rozpočet pro penetrační testování je 187 000 dolarů, což představuje 10,5 % celkových výdajů na IT bezpečnost. Larger podniky (10 000+ zaměstnanců) vydávají ještě více – průměrně 216 000 dolarů ročně.

V roce 2025 plánuje 50 % podniků zvýšit své rozpočty pro penetrační testování a 47,5 % očekává růst svých celkových bezpečnostních výdajů. Pouze 10 % předpokládá snížení investic. Tyto čísla zdůrazňují vzestup bezpečnosti z operativní nutnosti na prioritu na úrovni představenstva.

Bezpečnostní testování stále zaostává

Zde je překvapivá nesrovnalost: 96 % podniků uvádí změny infrastruktury alespoň čtvrtletně, ale pouze 30 % provádí penetrační testování ve stejné frekvenci. Výsledkem jsou nové zranitelnosti, které procházejí netestovanými změnami, a rozšiřují útočný povrch při každé softwarové aktualizaci nebo konfigurační aktualizaci.

Pouze 13 % velkých podniků s více než 10 000 zaměstnanci provádí čtvrtletní penetrační testy. Zatímco téměř polovina z nich testuje pouze jednou ročně – nebezpečné zpoždění v dnešním dynamickém prostředí hrozeb.

Riziková shoda je ostřejší než kdykoli předtím

Povzbudivě se bezpečnostní lídři zaměřují na testování, kde skutečně dochází k protržení. Téměř 57 % prioritizuje webově orientované aktiva, následované interními servery, API, cloudovou infrastrukturou a zařízeními IoT. Tato shoda odráží rostoucí povědomí, že útočníci nediskriminují – využívají každou dostupnou zranitelnost napříč celým útočným povrchem.

API, zejména, se staly vysokou prioritou pro útočníky i obránce. Tyto rozhraní jsou stále důležitější pro obchodní operace, ale často postrádají viditelnost a standardní monitorování, což je činí náchylnými k exploataci.

Operacionalizace výsledků penetračního testování

Zprávy o penetračním testování již nejsou odloženy. Místo toho 62 % podniků okamžitě předává zjištění do IT pro prioritizaci oprav, zatímco 47 % sdílí výsledky se seniorními manažery a 21 % hlásí přímo představenstvu nebo regulačním orgánům.

Tento posun k akci odráží hlubší integraci penetračního testování do strategického řízení rizik – ne pouze kontrolu souladu. Validace zabezpečení se stává součástí obchodního dialogu.

Co brání ještě rychlejšímu pokroku?

Přestože trendy jsou pozitivní, zůstávají klíčové inhibitory. Dvě hlavní bariéry pro častější penetrační testování jsou omezení rozpočtu (44 %) a nedostatek dostupných penetračních testerů (48 %) – druhý odráží globální nedostatek 4 milionů odborníků na kybernetickou bezpečnost, podle Světového ekonomického fóra.

Operační riziko, jako je strach z výpadků během testování, zůstává problémem pro 30 % CISO.

Z povinnosti souladu na strategickou zbraň

Penetrační testování se vyvinulo daleko za své počátky jako regulační požadavek. Dnes podporuje strategické iniciativy, včetně due diligence při fúzích a akvizicích a rozhodování na úrovni vedení. Téměř jedna třetina respondentů nyní uvádí “rozhodnutí vedení” a “přípravu na fúze a akvizice” jako klíčové důvody pro provádění penetračních testů.

To představuje fundamentální transformaci: z reaktivní kontroly na proaktivní a kontinuální měření kybernetické odolnosti.

Závěrečné myšlenky

Zpráva 2025 State of Pentesting Survey Report je více než pouhý stav – je to budíček. Když útočné povrchy rostou a hrozby se stávají sofistikovanějšími, organizace si již nemohou dovolit pomalé, manuální nebo izolované přístupy k bezpečnostnímu testování. Penetrační testování poháněné umělou inteligencí a softwarem vstupuje, aby uzavřelo tuto mezeru s rychlostí, měřítkem a vhledem.

Organizace, které prosperují v této nové éře, budou ty, které pohlíží na bezpečnostní validaci ne jako na technickou nutnost, ale jako na strategickou imperativ.

Pro další informace si stáhněte plnou 2025 State of Pentesting Survey Report od Pentera.

mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.