Rapporter

Pentestingens tilstand i 2025: Hvorfor AI-drevet sikkerhetsvalidering nå er et strategisk imperativ

Publisert Kan 7, 2025

Antoine Tardif, Administrerende direktør og grunnlegger av Unite.AI

Ocuco Rapport om tilstanden til penetrasjonstesting i 2025 Pentera tegner et slående bilde av et landskap for nettsikkerhet under beleiring – og i rask utvikling. Dette er ikke bare en historie om å forsvare digitale grenser; det er en blåkopi av hvordan bedrifter forvandler sin tilnærming til sikkerhet, drevet av automatisering, AI-baserte verktøy og det uopphørlige presset fra trusler i den virkelige verden.

Innbrudd vedvarer til tross for større sikkerhetsstabler

Til tross for at de distribuerer stadig mer komplekse sikkerhetsstakker, rapporterte 67 % av amerikanske bedrifter at de hadde opplevd et sikkerhetsbrudd i løpet av de siste 24 månedene. Dette var heller ikke mindre hendelser – 76 % rapporterte en direkte innvirkning på konfidensialitet, integritet eller tilgjengelighet av data, og 36 % opplevde uplanlagt nedetid, mens 28 % opplevde økonomiske tap.

Sammenhengen er tydelig: etter hvert som stakkens kompleksitet øker, øker også varslene – og sikkerhetsbruddene. Bedrifter som bruker mer enn 100 sikkerhetsverktøy opplevde et gjennomsnitt på 3,074 ukentlige varsler, mens de som bruker mellom 76–100 verktøy opplevde 2,048 varsler per uke.

Likevel overvelder ofte denne dataskreden sikkerhetsteam, noe som forsinker responstider og lar reelle trusler glippe gjennom sprekkene.

Cybersikkerhetsforsikring former teknologiadopsjon

Cyberforsikringsselskaper har blitt uventede drivere for innovasjon innen cybersikkerhet. Hele 59 % av amerikanske bedrifter implementerte nye sikkerhetsverktøy spesifikt på forespørsel fra forsikringsselskapet sitt, og 93 % av ITSO-ene rapporterte at forsikringsselskapene påvirket deres sikkerhetstilstander. I mange tilfeller gikk disse anbefalingene utover samsvar – de formet teknologistrategien.

Fremveksten av programvarebasert penetrasjonstesting

Manuell penetrasjonstesting er ikke lenger standard. Over 55 % av organisasjoner er nå avhengige av programvarebasert penetrasjonstesting i sine interne programmer, mens ytterligere 49 % bruker tredjepartsleverandører. I motsetning til dette er det fortsatt bare 17 % som utelukkende er avhengige av intern manuell testing.

Denne overgangen til automatisert kontradiktorisk testing gjenspeiler en bredere trend: behovet for skalerbar, repeterbar og sanntidsvalidering i en tid med stadig utviklende trusler. Disse automatiserte plattformene simulerer angrep som spenner fra filløs skadelig programvare til privilegiumsøkning, slik at bedrifter kan vurdere sin robusthet kontinuerlig og uten avbrudd.

Sikkerhetsbudsjettene vokser – raskt

Sikkerhet blir ikke billigere, men organisasjoner prioriterer det likevel. Det gjennomsnittlige årlige budsjettet for penetrasjonstesting er 187,000 10.5 dollar, som utgjør 10,000 % av de totale IT-sikkerhetsutgiftene. Større bedrifter (216,000 XNUMX+ ansatte) bruker enda mer – et gjennomsnitt på XNUMX XNUMX dollar årlig.

I 2025 planlegger 50 % av bedriftene å øke sine penetrasjonstestbudsjetter, og 47.5 % forventer å øke sine totale sikkerhetsutgifter. Bare 10 % forventer en nedgang i investeringer. Disse tallene fremhever at sikkerhet har steget fra en driftsmessig nødvendighet til en prioritet i styrerommet.

Sikkerhetstesting tar fortsatt igjen det tapte

Her er en oppsiktsvekkende mangel på sammenheng: 96 % av bedrifter rapporterer endringer i infrastrukturen minst kvartalsvis, men bare 30 % utfører penetrasjonstesting med samme frekvens. Resultatet? Nye sårbarheter slipper gjennom uprøvde endringer, og utvider angrepsflaten med hver programvareoppdatering eller konfigurasjonsoppdatering.

Bare 13 % av store bedrifter med over 10,000 XNUMX ansatte gjennomfører kvartalsvise penetrasjonstester. Samtidig tester nesten halvparten fortsatt bare én gang i året – en farlig etterslep i dagens dynamiske trusselmiljø.

Risikojustering er skarpere enn noensinne

Oppmuntrende nok fokuserer sikkerhetsledere testing der sikkerhetsbrudd faktisk skjer. Nesten 57 % prioriterer nettbaserte ressurser, etterfulgt av interne servere, API-er, skyinfrastruktur og IoT-enheter. Denne tilpasningen gjenspeiler en økende bevissthet om at angripere ikke diskriminerer – de utnytter enhver tilgjengelig sårbarhet på tvers av hele angrepsflaten.

Spesielt API-er har blitt et høyprioritert mål, både for angripere og forsvarere. Disse grensesnittene blir stadig viktigere for forretningsdriften, men mangler ofte synlighet og standardovervåking, noe som gjør dem modne for utnyttelse.

Operasjonalisering av Pentest-resultater

Pentest-rapporter legges ikke lenger på hylla. I stedet overfører 62 % av bedriftene umiddelbart funn til IT for prioritering av utbedring, mens 47 % deler resultater med toppledelsen og 21 % rapporterer direkte til sine styrer eller regulatorer.

Dette skiftet mot handling gjenspeiler en dypere integrering av penetrasjonstesting i strategisk risikostyring – ikke bare avmerkingsbokser for samsvar. Sikkerhetsvalidering er i ferd med å bli en del av forretningssamtalen.

Hva hindrer enda raskere fremgang?

Selv om trendlinjene er positive, er det fortsatt viktige hindringer. De to største hindringene for hyppigere penetrasjonstesting er budsjettbegrensninger (44 %) og mangel på tilgjengelige penetrasjonstestere (48 %) – sistnevnte gjenspeiler en global mangel på 4 millioner cybersikkerhetsfagfolk, ifølge World Economic Forum.

Operasjonell risiko, som frykt for driftsavbrudd under testing, er fortsatt en bekymring for 30 % av IT-sjefer.

Fra samsvarsforpliktelse til strategisk våpen

Pentesting har utviklet seg langt utover det opprinnelige kravet som et regulatorisk krav. I dag støtter det strategiske initiativer, inkludert due diligence ved fusjoner og oppkjøp og beslutningstaking på ledernivå. Nesten en tredjedel av respondentene nevner nå «ledelsens mandat» og «forberedelse til fusjoner og oppkjøp» som viktige grunner til å gjennomføre pentesting.

Dette markerer en fundamental transformasjon: fra en reaktiv oppfølging til et proaktivt og kontinuerlig mål på cyberrobusthet.

Final Thoughts

Ocuco Rapport om tilstanden til penetrasjonstesting i 2025 er mer enn en statusoppdatering – det er en vekker. Etter hvert som angrepsflatene vokser og trusselaktørene blir mer sofistikerte, har ikke organisasjoner lenger råd til trege, manuelle eller isolerte tilnærminger til sikkerhetstesting. AI-drevet, programvarebasert penetrasjonstesting kommer til syne for å lukke dette gapet med hastighet, skala og innsikt.

Organisasjonene som blomstrer i denne nye æraen vil være de som behandler sikkerhetsvalidering ikke bare som en teknisk nødvendighet, men som et strategisk imperativ.

For mer innsikt, last ned hele Rapport om tilstanden til penetrasjonstesting i 2025 fra Pentera.

Relaterte temaer:pentesting rapporterer rapporter

Neste

Når AI slår tilbake: Enkrypt AI-rapport avslører farlige sårbarheter i multimodale modeller

Ikke gå glipp av

Hvordan svindlere bruker kunstig intelligens i banksvindel

Antoine Tardif

Antoine er en visjonær leder og grunnlegger av Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at kunstig intelligens vil være like forstyrrende for samfunnet som elektrisitet, og blir ofte fanget på å fantasere om potensialet til forstyrrende teknologier og AGI.

Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnlegger av Securities.io, en plattform fokusert på å investere i banebrytende teknologier som redefinerer fremtiden og omformer hele sektorer.

Unite.AI