Rapporter

Status for pentestning i 2025: Hvorfor AI-drevet sikkerhedsvalidering nu er et strategisk imperativ

Udgivet Maj 7, 2025

Antoine Tardif, Administrerende direktør og grundlægger af Unite.AI

Rapport om tilstanden af penetrationstestning 2025 Pentera tegner et slående billede af et cybersikkerhedslandskab under belejring – og i hastig udvikling. Dette er ikke bare en historie om at forsvare digitale grænser; det er en skabelon for, hvordan virksomheder transformerer deres tilgang til sikkerhed, drevet af automatisering, AI-baserede værktøjer og det uophørlige pres fra trusler i den virkelige verden.

Hændelser fortsætter trods større sikkerhedsstakke

Trods implementering af stadig mere komplekse sikkerhedssystemer rapporterede 67 % af amerikanske virksomheder at have oplevet et brud inden for de seneste 24 måneder. Disse var heller ikke mindre hændelser – 76 % rapporterede en direkte indvirkning på fortrolighed, integritet eller tilgængelighed af data, og 36 % oplevede uplanlagt nedetid, mens 28 % oplevede økonomiske tab.

Sammenhængen er tydelig: i takt med at stakkompleksiteten stiger, stiger også antallet af advarsler – og antallet af brud. Virksomheder, der bruger mere end 100 sikkerhedsværktøjer, oplevede i gennemsnit 3,074 ugentlige advarsler, mens dem, der bruger mellem 76-100 værktøjer, oplevede 2,048 advarsler om ugen.

Alligevel overvælder denne lavine af data ofte sikkerhedsteams, hvilket forsinker responstider og tillader reelle trusler at slippe gennem revnerne.

Cybersikkerhedsforsikring former teknologiudbredelsen

Cyberforsikringsselskaber er blevet uventede drivkræfter for innovation inden for cybersikkerhed. Hele 59 % af amerikanske virksomheder implementerede nye sikkerhedsværktøjer specifikt efter anmodning fra deres forsikringsselskab, og 93 % af ITSO'erne rapporterede, at forsikringsselskaberne påvirkede deres sikkerhedspolitik. I mange tilfælde gik disse anbefalinger ud over compliance – de formede teknologistrategien.

Fremkomsten af softwarebaseret pentestning

Manuel pentestning er ikke længere standard. Over 55% af organisationer er nu afhængige af softwarebaseret pentestning i deres interne programmer, mens yderligere 49% bruger tredjepartsudbydere. I modsætning hertil er det kun 17%, der stadig udelukkende er afhængige af intern manuel testning.

Denne overgang til automatiseret kontradiktorisk testning afspejler en bredere tendens: behovet for skalerbar, gentagelig og realtidsvalidering i en tid med stadigt udviklende trusler. Disse automatiserede platforme simulerer angreb lige fra filløs malware til privilegieeskalering, hvilket gør det muligt for virksomheder at vurdere deres modstandsdygtighed løbende og uden afbrydelser.

Sikkerhedsbudgetterne vokser – hurtigt

Sikkerhed bliver ikke billigere, men organisationer prioriterer det alligevel. Det gennemsnitlige årlige budget til penetrationstestning er 187,000 USD, hvilket tegner sig for 10.5 % af de samlede udgifter til IT-sikkerhed. Større virksomheder (10,000+ ansatte) bruger endnu mere – i gennemsnit 216,000 USD årligt.

I 2025 planlægger 50 % af virksomhederne at øge deres budgetter til penetrationstestning, og 47.5 % forventer at øge deres samlede sikkerhedsudgifter. Kun 10 % forventer et fald i investeringerne. Disse tal fremhæver, at sikkerhed er steget fra en operationel nødvendighed til en prioritet i bestyrelseslokaler.

Sikkerhedstestning holder stadig trit

Her er en overraskende forskel: 96 % af virksomheder rapporterer ændringer i infrastrukturen mindst kvartalsvis, men kun 30 % udfører pentestning med samme hyppighed. Resultatet? Nye sårbarheder slipper igennem utestede ændringer og udvider angrebsfladen med hver softwareopdatering eller konfigurationsopdatering.

Kun 13 % af store virksomheder med over 10,000 ansatte udfører kvartalsvise pentests. I mellemtiden tester næsten halvdelen stadig kun én gang om året – en farlig forsinkelse i dagens dynamiske trusselsmiljø.

Risikojustering er skarpere end nogensinde

Det er opmuntrende, at sikkerhedsledere fokuserer test der, hvor brud rent faktisk sker. Næsten 57 % prioriterer webvendte aktiver, efterfulgt af interne servere, API'er, cloudinfrastruktur og IoT-enheder. Denne sammenhæng afspejler en voksende bevidsthed om, at angribere ikke diskriminerer – de udnytter enhver tilgængelig sårbarhed på tværs af hele angrebsfladen.

Især API'er er blevet et højt prioriteret mål, både for angribere og forsvarere. Disse grænseflader bliver stadig vigtigere for forretningsdriften, men mangler ofte synlighed og standardovervågning, hvilket gør dem modne til udnyttelse.

Operationalisering af Pentest-resultater

Pentest-rapporter lægges ikke længere på hylden. I stedet overfører 62 % af virksomhederne straks resultaterne til IT med henblik på prioritering af afhjælpende foranstaltninger, mens 47 % deler resultaterne med den øverste ledelse, og 21 % rapporterer direkte til deres bestyrelser eller tilsynsmyndigheder.

Dette skift i retning af handling afspejler en dybere integration af pentesting i strategisk risikostyring – ikke blot afkrydsningsfelter for compliance. Sikkerhedsvalidering er ved at blive en del af forretningssamtalen.

Hvad holder endnu hurtigere fremskridt tilbage?

Selvom tendenslinjerne er positive, er der fortsat centrale hæmmere. De to største barrierer for hyppigere pentestning er budgetbegrænsninger (44%) og mangel på tilgængelige pentestere (48%) – sidstnævnte afspejler en global mangel på 4 millioner cybersikkerhedsprofessionelle, ifølge World Economic Forum.

Operationel risiko, såsom frygt for afbrydelser under test, er fortsat en bekymring for 30 % af CISO'er.

Fra complianceforpligtelse til strategisk våben

Pentesting har udviklet sig langt ud over dets oprindelige status som et lovgivningsmæssigt krav. I dag understøtter det strategiske initiativer, herunder due diligence i forbindelse med fusioner og opkøb og beslutningstagning på direktionsniveau. Næsten en tredjedel af respondenterne nævner nu "direktivmandat" og "forberedelse til fusioner og opkøb" som nøgleårsager til at udføre pentests.

Dette markerer en fundamental transformation: fra en reaktiv kontrol til en proaktiv og kontinuerlig måling af cyberrobusthed.

Afsluttende tanker

Rapport om tilstanden af penetrationstestning 2025 er mere end en statusopdatering – det er et wake-up call. Efterhånden som angrebsfladerne vokser, og trusselsaktører bliver mere sofistikerede, har organisationer ikke længere råd til langsomme, manuelle eller isolerede tilgange til sikkerhedstestning. AI-drevet, softwarebaseret pentestning træder til for at lukke dette hul med hastighed, skala og indsigt.

De organisationer, der trives i denne nye æra, vil være dem, der behandler sikkerhedsvalidering ikke blot som en teknisk nødvendighed, men som et strategisk imperativ.

For mere indsigt, download den fulde Rapport om tilstanden af penetrationstestning 2025 fra Pentera.

Relaterede emner:pentesting indberette rapporter

Næste

Når AI giver bagslag: Enkrypt AI-rapport afslører farlige sårbarheder i multimodale modeller

Gå ikke glip af

Hvordan svindlere bruger kunstig intelligens i banksvindel

Antoine Tardif

Antoine er en visionær leder og grundlægger af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for kunstig intelligens og robotteknologi. Som serieiværksætter mener han, at kunstig intelligens vil være lige så forstyrrende for samfundet som elektricitet, og han bliver ofte fanget i at begejstre for potentialet i forstyrrende teknologier og AGI.

Som en fremtidsforsker, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han stifter af Værdipapirer.io, en platform fokuseret på at investere i banebrydende teknologier, der omdefinerer fremtiden og omformer hele sektorer.

Unite.AI