Izvješća

Stanje penetracijskog testiranja u 2025.: Zašto je sigurnosna validacija vođena umjetnom inteligencijom sada strateški imperativ

Objavljeno Svibanj 7, 2025

Antoine Tardif, Izvršni direktor i osnivač Unite.AI-a

The Izvješće o stanju penetracijskog testiranja za 2025. Pentera slika upečatljivu sliku krajolika kibernetičke sigurnosti pod opsadom – i brzo se razvija. Ovo nije samo priča o obrani digitalnih granica; to je nacrt kako poduzeća transformiraju svoj pristup sigurnosti, vođena automatizacijom, alatima temeljenim na umjetnoj inteligenciji i neumoljivim pritiskom prijetnji iz stvarnog svijeta.

Proboji i dalje postoje unatoč većim sigurnosnim mjerama

Unatoč uvođenju sve složenijih sigurnosnih paketa, 67% američkih poduzeća prijavilo je da je u posljednja 24 mjeseca doživjelo kršenje sigurnosti. Nisu se radilo o manjim incidentima - 76% prijavilo je izravan utjecaj na povjerljivost, integritet ili dostupnost podataka, a 36% doživjelo je neplanirani prekid rada, dok se 28% suočilo s financijskim gubicima.

Korelacija je jasna: kako se složenost stoga povećava, tako rastu i upozorenja - i povrede sigurnosti. Poduzeća koja koriste više od 100 sigurnosnih alata doživjela su u prosjeku 3,074 upozorenja tjedno, dok su ona koja koriste između 76 i 100 alata doživjela 2,048 upozorenja tjedno.

Pa ipak, ova lavina podataka često preopterećuje sigurnosne timove, odgađajući vrijeme odziva i dopuštajući stvarnim prijetnjama da promaknu.

Osiguranje kibernetičke sigurnosti oblikuje prihvaćanje tehnologije

Kibernetički osiguravatelji postali su neočekivani pokretači inovacija u kibernetičkoj sigurnosti. Zapanjujućih 59% američkih poduzeća implementiralo je nove sigurnosne alate posebno na zahtjev svog osiguravatelja, a 93% CISO-a izvijestilo je da su osiguravatelji utjecali na njihove sigurnosne stavove. U mnogim slučajevima, te su preporuke išle dalje od usklađenosti - oblikovale su tehnološku strategiju.

Uspon softverskog penetrativnog testiranja

Ručno testiranje penetracijom više nije zadano. Preko 55% organizacija sada se oslanja na softversko testiranje penetracijom unutar svojih internih programa, dok dodatnih 49% koristi usluge trećih strana. Nasuprot tome, samo 17% se još uvijek oslanja isključivo na interno ručno testiranje.

Ovaj prijelaz na automatizirano kontradiktorno testiranje odražava širi trend: potrebu za skalabilnom, ponovljivom i validacijom u stvarnom vremenu u eri prijetnji koje se stalno razvijaju. Ove automatizirane platforme simuliraju napade u rasponu od zlonamjernog softvera bez datoteka do eskalacije privilegija, omogućujući poduzećima da kontinuirano i bez prekida procjenjuju svoju otpornost.

Sigurnosni proračuni brzo rastu

Sigurnost ne postaje jeftinija, ali organizacije joj svejedno daju prioritet. Prosječni godišnji proračun za testiranje prodiranja iznosi 187,000 USD, što čini 10.5% ukupnih troškova za IT sigurnost. Veća poduzeća (s više od 10,000 zaposlenika) troše još više - u prosjeku 216,000 USD godišnje.

U 2025. godini, 50% poduzeća planira povećati svoje proračune za testiranje sigurnosti, a 47.5% očekuje povećanje ukupnih sigurnosnih troškova. Samo 10% predviđa smanjenje ulaganja. Ove brojke ističu porast sigurnosti od operativne nužnosti do prioriteta uprave.

Sigurnosno testiranje još uvijek sustiže zaostatak

Evo zapanjujućeg odstupanja: 96% poduzeća prijavljuje promjene infrastrukture barem tromjesečno, ali samo 30% provodi testiranje prodora istom učestalošću. Rezultat? Nove ranjivosti provlače se kroz netestirane promjene, proširujući površinu napada sa svakim slanjem softvera ili ažuriranjem konfiguracije.

Samo 13% velikih poduzeća s više od 10,000 zaposlenika provodi tromjesečne testove penetracije. U međuvremenu, gotovo polovica još uvijek testira samo jednom godišnje - što je opasno zaostajanje u današnjem dinamičnom okruženju prijetnji.

Usklađenost rizika je oštrija nego ikad

Ohrabrujuće je da sigurnosni lideri usmjeravaju testiranje tamo gdje se zapravo događaju proboji. Gotovo 57% daje prioritet resursima usmjerenim na web, a slijede interni poslužitelji, API-ji, infrastruktura u oblaku i IoT uređaji. Ovo usklađivanje odražava rastuću svijest da napadači ne diskriminiraju - oni iskorištavaju svaku dostupnu ranjivost na cijeloj površini napada.

API-ji su se, posebno, pojavili kao meta visokog prioriteta, i za napadače i za branitelje. Ta sučelja su sve važnija za poslovne operacije, ali im često nedostaje vidljivost i standardno praćenje, što ih čini pogodnima za iskorištavanje.

Operacionalizacija rezultata pentesta

Izvješća o penetraciji više se ne odlažu. Umjesto toga, 62% poduzeća odmah prenosi nalaze u IT odjel radi prioritizacije sanacije, dok 47% dijeli rezultate s višim menadžmentom, a 21% izravno izvještava svojim upravnim odborima ili regulatorima.

Ovaj pomak prema djelovanju odražava dublju integraciju penetracijskog testiranja u strateško upravljanje rizicima - ne samo provjeru usklađenosti. Sigurnosna validacija postaje dio poslovnih razgovora.

Što koči još brži napredak?

Iako su trendovi pozitivni, ključne prepreke ostaju. Dvije najveće prepreke češćem testiranju penetracije su proračunska ograničenja (44%) i nedostatak dostupnih pentestera (48%) - potonje odražava globalni nedostatak od 4 milijuna stručnjaka za kibernetičku sigurnost, prema Svjetskom ekonomskom forumu.

Operativni rizik, poput straha od prekida tijekom testiranja, i dalje je problem za 30% CISO-a.

Od obveze usklađenosti do strateškog oružja

Pentestiranje se razvilo daleko izvan svojih početaka kao regulatorni zahtjev. Danas podržava strateške inicijative, uključujući dubinsku analizu spajanja i akvizicija te donošenje odluka na izvršnoj razini. Gotovo trećina ispitanika sada navodi „izvršni mandat“ i „pripremu za spajanja i akvizicije“ kao ključne razloge za provođenje pentestiranja.

To označava temeljnu transformaciju: od reaktivne provjere do proaktivne i kontinuirane mjere kibernetičke otpornosti.

Final Misli

The Izvješće o stanju penetracijskog testiranja za 2025. je više od ažuriranja statusa - to je poziv na buđenje. Kako površine za napad rastu, a akteri prijetnji postaju sofisticiraniji, organizacije si više ne mogu priuštiti spore, ručne ili izolirane pristupe sigurnosnom testiranju. Testiranje prodiranja temeljeno na softveru i umjetnoj inteligenciji premošćuje taj jaz brzinom, opsegom i uvidom.

Organizacije koje će napredovati u ovom novom dobu bit će one koje sigurnosnu validaciju tretiraju ne samo kao tehničku nužnost, već kao strateški imperativ.

Za više uvida preuzmite cijeli Izvješće o stanju penetracijskog testiranja za 2025. iz Pentere.

Srodne teme:pentesting prijaviti izvješća

Sljedeći

Kad se umjetna inteligencija obije o glavu: Izvješće o umjetnoj inteligenciji Enkrypta otkriva opasne ranjivosti u multimodalnim modelima

Ne propustite

Kako prevaranti koriste AI u bankovnim prijevarama

Antoine Tardif

Antoine je vizionarski vođa i partner u osnivanju Unite.AI, vođen nepokolebljivom strašću za oblikovanjem i promicanjem budućnosti umjetne inteligencije i robotike. Kao serijski poduzetnik, on vjeruje da će AI biti razoran za društvo kao i električna energija, i često ga se uhvati kako bjesni o potencijalu disruptivnih tehnologija i AGI-ja.

Kao futurist, posvećen je istraživanju kako će ove inovacije oblikovati naš svijet. Osim toga, on je osnivač Vrijednosni papiri.io, platforma usmjerena na ulaganje u vrhunske tehnologije koje redefiniraju budućnost i preoblikuju cijele sektore.

Ujedinite se.AI