Verbind je met ons

Rapporten

De stand van zaken op het gebied van pentesting in 2025: waarom AI-gestuurde beveiligingsvalidatie nu een strategische noodzaak is

mm
gepubliceerd

Ocuco's Medewerkers Rapport over de staat van pentesting in 2025 van Pentera schetst een treffend beeld van een cybersecuritylandschap dat onder vuur ligt – en zich razendsnel ontwikkelt. Dit is niet zomaar een verhaal over het verdedigen van digitale grenzen; het is een blauwdruk van hoe bedrijven hun beveiligingsaanpak transformeren, gedreven door automatisering, AI-tools en de aanhoudende druk van reële bedreigingen.

Inbreuken blijven bestaan ​​ondanks grotere beveiligingsstapels

Ondanks de implementatie van steeds complexere beveiligingssystemen, meldde 67% van de Amerikaanse bedrijven in de afgelopen 24 maanden een inbreuk te hebben meegemaakt. Dit waren ook geen kleine incidenten: 76% meldde een directe impact op de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens, 36% ondervond ongeplande downtime en 28% leed aan financiële verliezen.

De correlatie is duidelijk: naarmate de stackcomplexiteit toeneemt, nemen ook de meldingen – en dus ook de inbreuken – toe. Bedrijven die meer dan 100 beveiligingstools gebruiken, kregen gemiddeld 3,074 meldingen per week, terwijl bedrijven die tussen de 76 en 100 tools gebruikten, te maken kregen met 2,048 meldingen per week.

Toch is deze stortvloed aan gegevens vaak te groot voor beveiligingsteams, waardoor reactietijden worden vertraagd en echte bedreigingen onopgemerkt blijven.

Cybersecurityverzekeringen bepalen de acceptatie van technologie

Cyberverzekeraars zijn onverwachte drijvende krachten achter innovatie op het gebied van cybersecurity geworden. Maar liefst 59% van de Amerikaanse bedrijven implementeerde nieuwe beveiligingstools specifiek op verzoek van hun verzekeraar, en 93% van de CISO's gaf aan dat verzekeraars hun beveiligingsbeleid beïnvloedden. In veel gevallen gingen deze aanbevelingen verder dan compliance: ze vormden de technologische strategie.

De opkomst van softwaregebaseerde pentesting

Handmatige pentesting is niet langer de standaard. Meer dan 55% van de organisaties vertrouwt nu op softwarematige pentesting binnen hun eigen programma's, terwijl nog eens 49% gebruikmaakt van externe aanbieders. Slechts 17% daarentegen vertrouwt nog steeds uitsluitend op interne handmatige tests.

Deze overgang naar geautomatiseerde vijandige tests weerspiegelt een bredere trend: de behoefte aan schaalbare, herhaalbare en realtime validatie in een tijdperk van steeds veranderende bedreigingen. Deze geautomatiseerde platforms simuleren aanvallen variërend van bestandsloze malware tot privilege-escalatie, waardoor bedrijven hun veerkracht continu en zonder verstoring kunnen beoordelen.

Beveiligingsbudgetten groeien snel

Beveiliging wordt niet goedkoper, maar organisaties geven er toch prioriteit aan. Het gemiddelde jaarlijkse budget voor pentesten bedraagt ​​$ 187,000, goed voor 10.5% van de totale IT-beveiligingsuitgaven. Grotere ondernemingen (meer dan 10,000 werknemers) geven zelfs nog meer uit: gemiddeld $ 216,000 per jaar.

In 2025 is 50% van de ondernemingen van plan hun pentestingbudgetten te verhogen en 47.5% verwacht een stijging van hun totale beveiligingsuitgaven. Slechts 10% verwacht een daling van de investeringen. Deze cijfers benadrukken de opkomst van beveiliging van een operationele noodzaak tot een prioriteit in de directiekamer.

Beveiligingstesten lopen nog steeds achter

Hier is een opmerkelijke discrepantie: 96% van de bedrijven meldt minstens elk kwartaal wijzigingen in de infrastructuur, maar slechts 30% voert pentests met dezelfde frequentie uit. Het resultaat? Nieuwe kwetsbaarheden glippen door ongeteste wijzigingen heen, waardoor het aanvalsoppervlak toeneemt met elke software-push of configuratie-update.

Slechts 13% van de grote ondernemingen met meer dan 10,000 werknemers voert elk kwartaal pentests uit. Bijna de helft test nog steeds maar één keer per jaar – een gevaarlijke achterstand in de huidige dynamische dreigingsomgeving.

Risico-uitlijning is scherper dan ooit

Het is bemoedigend dat beveiligingsleiders zich richten op testen waar de daadwerkelijke inbreuken plaatsvinden. Bijna 57% geeft prioriteit aan webgebaseerde assets, gevolgd door interne servers, API's, cloudinfrastructuur en IoT-apparaten. Deze afstemming weerspiegelt een groeiend besef dat aanvallers geen onderscheid maken: ze maken misbruik van elke beschikbare kwetsbaarheid binnen het gehele aanvalsoppervlak.

API's zijn met name een doelwit met hoge prioriteit geworden, zowel voor aanvallers als verdedigers. Deze interfaces worden steeds belangrijker voor de bedrijfsvoering, maar missen vaak zichtbaarheid en standaard monitoring, waardoor ze kwetsbaar zijn voor misbruik.

Operationaliseren van pentestresultaten

Pentestrapporten worden niet langer op de plank gelegd. In plaats daarvan draagt ​​62% van de bedrijven de bevindingen direct over aan IT voor prioritering van herstelmaatregelen, terwijl 47% de resultaten deelt met het senior management en 21% rechtstreeks rapporteert aan hun directie of toezichthouders.

Deze verschuiving naar actie weerspiegelt een diepere integratie van pentesting in strategisch risicomanagement – ​​niet alleen het afvinken van compliance-vinkjes. Beveiligingsvalidatie wordt steeds meer onderdeel van de zakelijke discussie.

Wat staat nog snellere vooruitgang in de weg?

Hoewel de trendlijnen positief zijn, blijven er belangrijke belemmeringen bestaan. De twee belangrijkste belemmeringen voor frequentere pentesting zijn budgetbeperkingen (44%) en een gebrek aan beschikbare pentesters (48%) – dit laatste weerspiegelt een wereldwijd tekort van 4 miljoen cybersecurityprofessionals, aldus het Wereld Economisch Forum.

Operationele risico's, zoals de angst voor uitval tijdens testen, blijven een zorg voor 30% van de CISO's.

Van nalevingsverplichting tot strategisch wapen

Pentesting is inmiddels veel verder geëvolueerd dan de oorspronkelijke wettelijke verplichting. Tegenwoordig ondersteunt het strategische initiatieven, waaronder due diligence bij fusies en overnames en besluitvorming op directieniveau. Bijna een derde van de respondenten noemt nu "mandaat van de directie" en "voorbereiding op fusies en overnames" als belangrijke redenen om pentests uit te voeren.

Dit markeert een fundamentele transformatie: van een reactieve controle naar een proactieve en continue meting van cyberweerbaarheid.

Conclusie

Ocuco's Medewerkers Rapport over de staat van pentesting in 2025 is meer dan een statusupdate – het is een wake-upcall. Naarmate aanvalsoppervlakken toenemen en cybercriminelen steeds geavanceerder worden, kunnen organisaties zich geen trage, handmatige of geïsoleerde benaderingen van beveiligingstests meer veroorloven. AI-gestuurde, softwarematige pentests springen in om die kloof te dichten met snelheid, schaalbaarheid en inzicht.

De organisaties die in dit nieuwe tijdperk succesvol zijn, zijn die organisaties die beveiligingsvalidatie niet alleen als een technische noodzaak beschouwen, maar ook als een strategische noodzaak.

Voor meer inzichten, download de volledige Rapport over de staat van pentesting in 2025 van Pentera.

Gerelateerde onderwerpen:
mm

Antoine is een visionair leider en oprichter van Unite.AI, gedreven door een onwrikbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Als serieel ondernemer gelooft hij dat AI net zo ontwrichtend voor de maatschappij zal zijn als elektriciteit, en wordt hij vaak betrapt op het uiten van lyrische verhalen over de potentie van ontwrichtende technologieën en AGI.

Als futuristisch, hij is toegewijd aan het onderzoeken hoe deze innovaties onze wereld zullen vormgeven. Daarnaast is hij de oprichter van Effecten.io, een platform dat zich richt op investeringen in geavanceerde technologieën die de toekomst opnieuw definiëren en hele sectoren opnieuw vormgeven.