Connect with us

Status for pentesting i 2025: Hvorfor AI-drevet sikkerhetsvalidering nå er en strategisk imperativ

Cybersikkerhet

Status for pentesting i 2025: Hvorfor AI-drevet sikkerhetsvalidering nå er en strategisk imperativ

mm
Published
Updated

Rapporten 2025 State of Pentesting Survey Report fra Pentera tegner et slående bilde av et sikkerhetslandskap under beleiring – og som utvikler seg raskt. Dette er ikke bare en historie om å forsvare digitale grenser; det er en blåkopi av hvordan bedrifter transformerer sin tilnærming til sikkerhet, drevet av automatisering, AI-baserte verktøy og det uavbrutte presset fra virkelige trusler.

Brudd fortsetter til tross for større sikkerhetsstabler

Til tross for at de har deployert stadig mer komplekse sikkerhetsstabler, rapporterte 67% av USAs bedrifter at de hadde opplevd et brudd i løpet av de siste 24 månedene. Disse hendelsene var ikke mindre hendelser heller – 76% rapporterte en direkte innvirkning på konfidensialitet, integritet eller tilgjengelighet av data, og 36% opplevde uventet nedtid, mens 28% møtte finansielle tap.

Korrelasjonen er klar: jo mer kompleks sikkerhetsstaben er, jo flere varsler – og jo flere brudd. Bedrifter som bruker mer enn 100 sikkerhetsverktøy opplevde i gjennomsnitt 3 074 varsler per uke, mens de som bruker mellom 76-100 verktøy møtte 2 048 varsler per uke

Likevel overvelder denne lavinen av data ofte sikkerhetsteamene, og forsinker respons tidene og lar virkelige trusler gli gjennom språkene.

Sikkerhetsforsikring former teknologi-adoptsjon

Sikkerhetsforsikringsaktører har blitt uventede drivere av sikkerhetsinnovasjon. En slående 59% av USAs bedrifter implementerte nye sikkerhetsverktøy spesifikt på forespørsel fra forsikringsaktøren, og 93% av CISO-er rapporterte at forsikringsaktørene påvirkede deres sikkerhetsposturer. I mange tilfeller gikk disse anbefalingene utover kompatibilitet – de formet teknologistrategi.

Oppsvinget i programvare-basert pentesting

Manuell pentesting er ikke lenger standard. Over 55% av organisasjonene er nå avhengige av programvare-basert pentesting innenfor deres interne programmer, mens ytterligere 49% bruker tredjepartsleverandører. I motsetning til dette er bare 17% avhengige av kun intern manuell testing.

Denne overgangen til automatisert adversarial testing reflekterer en bredere trend: behovet for skalerbar, gjentakende og sanntidsvalidering i en æra med evoluerende trusler. Disse automatiserte plattformene simulerer angrep som varierer fra fil-løs malware til privilegie-eskalering, og muliggjør at bedrifter kan vurdere sin motstandsevne kontinuerlig og uten avbrytelse.

Sikkerhetsbudsjettene øker – raskt

Sikkerhet blir ikke billigere, men organisasjonene prioriterer det likevel. Det gjennomsnittlige årlige pentest-budsjettet er 187 000 dollar, og utgjør 10,5% av det totale IT-sikkerhetsbudsjettet. Større bedrifter (10 000+ ansatte) bruker enda mer – i gjennomsnitt 216 000 dollar årlig.

I 2025 planlegger 50% av bedriftene å øke sine pentest-budsjett, og 47,5% forventer å øke sine totale sikkerhetsutgifter. Bare 10% forventer en reduksjon i investeringene. Disse tallene understreker sikkerhetens økning fra en operativ nødvendighet til en styreroms-prioritet.

Sikkerhetstesting er fortsatt på farten

Her er en overraskende sammenheng: 96% av bedriftene rapporterer infrastruktur-endringer minst kvartalsvis, men bare 30% gjennomfører pentesting med samme frekvens. Resultatet? Nye sårbarheter glipper gjennom uteksaminerte endringer og utvider angrepsflaten med hver software-pusj eller konfigurasjonsoppdatering.

Bare 13% av store bedrifter med over 10 000 ansatte gjennomfører kvartalsvis pentest. I mellomtiden gjennomfører nesten halvparten bare en gang om året – en farlig forsinkelse i dagens dynamiske trussel-miljø.

Risiko-justering er skarpere enn noensinne

Oppmuntrende er at sikkerhetsledere fokuserer testing der brudd faktisk skjer. Nesten 57% prioriterer web-eksponerte aktiva, etterfulgt av interne servere, API-er, sky-infrastruktur og IoT-enheter. Denne justeringen reflekterer en økende bevissthet om at angripere ikke diskriminerer – de utnytter enhver tilgjengelig sårbarhet over hele angrepsflaten.

API-er, spesielt, har oppstått som et høyprioritert mål, både for angripere og forsvarere. Disse grensesnittene er stadig mer essensielle for forretningsdrift, men mangler ofte synlighet og standard overvåking, og gjør dem modent for utnyttelse.

Operasjonalisering av pentest-resultater

Pentest-rapporter blir ikke lenger lagt på hyllen. I stedet overfører 62% av bedriftene umiddelbart funn til IT for prioritering av retting, mens 47% deler resultater med senior ledelse og 21% rapporterer direkte til styret eller tilsynsmyndighetene.

Denne skiftningen mot handling reflekterer en dypere integrering av pentesting i strategisk risikostyring – ikke bare kompatibilitetsboksing. Sikkerhetsvalidering blir en del av forretnings-samtalen.

Hva holder tilbake enda raskere fremgang?

Selv om trendlinjene er positive, er det fremdeles nøkkelhindre. De to største hindrene for hyppigere pentesting er budsjettsbegrensninger (44%) og mangel på tilgjengelige pentestere (48%) – det siste reflekterer en global mangel på 4 millioner cybersecurity-fagfolk, ifølge Verdens økonomiske forum.

Operativ risiko, som frykt for nedtider under testing, er fortsatt en bekymring for 30% av CISO-er.

Fra kompatibilitetsforpliktelse til strategisk våpen

Pentesting har utviklet seg langt utover sine opprinnelige begrensninger som en regulatorisk krav. I dag støtter det strategiske initiativer, inkludert M&A due diligence og ledelses-nivå-beslutninger. Nesten en tredjedel av respondentene nevner nå “ledelses-mandat” og “forberedelse til M&A” som nøkkel-årsaker for å gjennomføre pentest.

Dette markerer en grunnleggende transformasjon: fra en reaktiv check-op til en proaktiv og kontinuerlig måling av cybersikkerhet.

Slutt-tanker

Rapporten 2025 State of Pentesting Survey Report er mer enn en statusoppdatering – det er en vekker. Mens angrepsflatene vokser og trussel-aktører blir mer sofistikerte, kan organisasjonene ikke lenger tillate seg langsomme, manuelle eller isolerte tilnærminger til sikkerhetstesting. AI-drevet, programvare-basert pentesting kommer inn for å lukke denne gapen med hastighet, skala og innsikt.

Organisasjonene som trives i denne nye æraen vil være de som behandler sikkerhetsvalidering ikke bare som en teknisk nødvendighet, men som en strategisk imperativ.

For mer innsikt, last ned den fulle 2025 State of Pentesting Survey Report fra Pentera.

mm

Antoine er en visjonær leder og grunnleggende partner i Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte tatt i å tale om potensialet for disruptiv teknologi og AGI.
Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnleggeren av Securities.io, en plattform som fokuserer på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.