Raporty

Stan Pentestingu w 2025 r.: Dlaczego walidacja bezpieczeństwa oparta na sztucznej inteligencji jest obecnie strategicznym imperatywem

Opublikowany May 7, 2025

Antoine Tardif, Dyrektor generalny i założyciel Unite.AI

Raport z badania stanu testów penetracyjnych w 2025 r. autorstwa Pentery maluje uderzający obraz krajobrazu cyberbezpieczeństwa w stanie oblężenia — i szybko ewoluującego. To nie jest tylko historia o obronie granic cyfrowych; to plan tego, w jaki sposób przedsiębiorstwa zmieniają swoje podejście do bezpieczeństwa, napędzane automatyzacją, narzędziami opartymi na sztucznej inteligencji i nieustającą presją zagrożeń ze świata rzeczywistego.

Naruszenia nadal występują pomimo większych zabezpieczeń

Pomimo wdrażania coraz bardziej złożonych stosów zabezpieczeń, 67% amerykańskich przedsiębiorstw zgłosiło naruszenie bezpieczeństwa w ciągu ostatnich 24 miesięcy. Nie były to jednak drobne incydenty – 76% zgłosiło bezpośredni wpływ na poufność, integralność lub dostępność danych, 36% doświadczyło nieplanowanych przestojów, a 28% poniosło straty finansowe.

Korelacja jest jasna: wraz ze wzrostem złożoności stosu rosną również alerty — i naruszenia. Przedsiębiorstwa korzystające z ponad 100 narzędzi bezpieczeństwa doświadczyły średnio 3,074 alertów tygodniowo, podczas gdy te korzystające z 76–100 narzędzi doświadczyły 2,048 alertów tygodniowo

Jednak ta lawina danych często przytłacza zespoły ds. bezpieczeństwa, opóźniając czas reakcji i umożliwiając wykrycie prawdziwych zagrożeń.

Ubezpieczenia cyberbezpieczeństwa kształtują adopcję technologii

Cyberubezpieczenia stały się nieoczekiwanymi czynnikami napędzającymi innowacje w zakresie cyberbezpieczeństwa. Aż 59% amerykańskich przedsiębiorstw wdrożyło nowe narzędzia bezpieczeństwa specjalnie na prośbę swojego ubezpieczyciela, a 93% CISO zgłosiło, że ubezpieczyciele wpłynęli na ich postawy bezpieczeństwa. W wielu przypadkach zalecenia te wykraczały poza zgodność — kształtowały strategię technologiczną.

Rozwój testów penetracyjnych opartych na oprogramowaniu

Manualne testowanie penetracyjne nie jest już domyślne. Ponad 55% organizacji polega obecnie na testowaniu penetracyjnym opartym na oprogramowaniu w ramach swoich wewnętrznych programów, a kolejne 49% korzysta z usług zewnętrznych dostawców. Natomiast tylko 17% nadal polega wyłącznie na wewnętrznych testach ręcznych.

To przejście do automatyczne testowanie antagonistyczne odzwierciedla szerszy trend: potrzebę skalowalnej, powtarzalnej i walidacyjnej w czasie rzeczywistym w erze ciągle ewoluujących zagrożeń. Te zautomatyzowane platformy symulują ataki od złośliwego oprogramowania bez plików po eskalację uprawnień, umożliwiając przedsiębiorstwom ciągłą i bezproblemową ocenę ich odporności.

Budżety na bezpieczeństwo rosną szybko

Bezpieczeństwo nie staje się tańsze, ale organizacje i tak stawiają je na pierwszym miejscu. Średni roczny budżet na testy penetracyjne wynosi 187,000 10.5 USD, co stanowi 10,000% całkowitych wydatków na bezpieczeństwo IT. Większe przedsiębiorstwa (ponad 216,000 XNUMX pracowników) wydają jeszcze więcej — średnio XNUMX XNUMX USD rocznie.

W 2025 roku 50% przedsiębiorstw planuje zwiększyć budżety na testy penetracyjne, a 47.5% spodziewa się wzrostu ogólnych wydatków na bezpieczeństwo. Tylko 10% przewiduje spadek inwestycji. Liczby te podkreślają, że bezpieczeństwo z konieczności operacyjnej stało się priorytetem zarządu.

Testowanie bezpieczeństwa wciąż nadrabia zaległości

Oto zaskakująca rozbieżność: 96% przedsiębiorstw zgłasza zmiany w infrastrukturze co najmniej raz na kwartał, ale tylko 30% przeprowadza testy penetracyjne z taką samą częstotliwością. Rezultat? Nowe luki w zabezpieczeniach prześlizgują się przez nieprzetestowane zmiany, zwiększając powierzchnię ataku z każdym wypychaniem oprogramowania lub aktualizacją konfiguracji.

Tylko 13% dużych przedsiębiorstw zatrudniających ponad 10,000 XNUMX pracowników przeprowadza kwartalne testy penetracyjne. Tymczasem prawie połowa nadal testuje tylko raz w roku — niebezpieczne opóźnienie w dzisiejszym dynamicznym środowisku zagrożeń.

Wyrównanie ryzyka jest bardziej precyzyjne niż kiedykolwiek

Co zachęcające, liderzy bezpieczeństwa koncentrują testy tam, gdzie faktycznie dochodzi do naruszeń. Prawie 57% priorytetowo traktuje zasoby internetowe, a następnie serwery wewnętrzne, interfejsy API, infrastrukturę chmurową i urządzenia IoT. To ujednolicenie odzwierciedla rosnącą świadomość, że atakujący nie dyskryminują – wykorzystują każdą dostępną lukę na całej powierzchni ataku.

W szczególności API stały się celem o wysokim priorytecie, zarówno dla atakujących, jak i obrońców. Interfejsy te są coraz bardziej niezbędne dla operacji biznesowych, ale często brakuje im widoczności i standardowego monitorowania, co czyni je podatnymi na eksploatację.

Operacjonalizacja wyników testów penetracyjnych

Raporty z testów penetracyjnych nie są już odkładane na półkę. Zamiast tego 62% przedsiębiorstw natychmiast przekazuje ustalenia do działu IT w celu ustalenia priorytetów naprawczych, podczas gdy 47% dzieli się wynikami z kadrą zarządzającą wyższego szczebla, a 21% raportuje bezpośrednio do swoich zarządów lub organów regulacyjnych.

Ta zmiana w kierunku działania odzwierciedla głębszą integrację pentestingu ze strategicznym zarządzaniem ryzykiem — nie tylko checkboxing zgodności. Walidacja bezpieczeństwa staje się częścią rozmów biznesowych.

Co powstrzymuje jeszcze szybszy postęp?

Choć linie trendu są pozytywne, pozostają kluczowe czynniki hamujące. Dwiema głównymi barierami dla częstszego przeprowadzania testów penetracyjnych są ograniczenia budżetowe (44%) i brak dostępnych testerów penetracyjnych (48%) — ten ostatni odzwierciedla globalny niedobór 4 milionów specjalistów od cyberbezpieczeństwa, według Światowego Forum Ekonomicznego.

Ryzyko operacyjne, takie jak obawa przed awariami podczas testów, nadal budzi obawy 30% dyrektorów ds. bezpieczeństwa informacji.

Od obowiązku przestrzegania przepisów do broni strategicznej

Pentesting rozwinął się daleko poza swoje początki jako wymóg regulacyjny. Obecnie wspiera inicjatywy strategiczne, w tym due diligence fuzji i przejęć oraz podejmowanie decyzji na szczeblu kierowniczym. Prawie jedna trzecia respondentów podaje obecnie „mandat kierowniczy” i „przygotowanie do fuzji i przejęć” jako główne powody przeprowadzania pentestów.

Oznacza to zasadniczą transformację: od reaktywnej kontroli do proaktywnego i ciągłego pomiaru cyberodporności.

Uwagi końcowe

Raport z badania stanu testów penetracyjnych w 2025 r. to coś więcej niż aktualizacja statusu — to sygnał ostrzegawczy. W miarę jak powierzchnie ataków rosną, a aktorzy zagrożeń stają się coraz bardziej wyrafinowani, organizacje nie mogą już sobie pozwolić na powolne, ręczne lub wyizolowane podejścia do testowania bezpieczeństwa. Oparte na sztucznej inteligencji, oparte na oprogramowaniu testy penetracyjne wkraczają, aby zamknąć tę lukę dzięki szybkości, skali i wglądowi.

W tej nowej erze najlepiej sprawdzą się te organizacje, które będą traktować weryfikację bezpieczeństwa nie tylko jako konieczność techniczną, ale jako imperatyw strategiczny.

Aby uzyskać więcej informacji, pobierz pełną wersję Raport z badania stanu testów penetracyjnych w 2025 r. od Pentery.

Powiązane tematy:Testowanie penetracyjne raport Raporty

W przyszłym

Kiedy AI zawodzi: Raport Enkrypt AI ujawnia niebezpieczne luki w zabezpieczeniach modeli multimodalnych

Nie przegap

Jak oszuści wykorzystują sztuczną inteligencję w oszustwach bankowych

Antoniego Tardif

Antoine jest wizjonerskim liderem i partnerem założycielskim Unite.AI, napędzanym niezachwianą pasją do kształtowania i promowania przyszłości AI i robotyki. Jako seryjny przedsiębiorca wierzy, że AI będzie tak samo przełomowa dla społeczeństwa jak elektryczność i często zachwyca się potencjałem przełomowych technologii i AGI.

Jako futurysta, poświęca się badaniu, w jaki sposób te innowacje ukształtują nasz świat. Ponadto jest założycielem Securities.io, platforma skupiająca się na inwestowaniu w najnowocześniejsze technologie, które zmieniają przyszłość i przekształcają całe sektory.

Zjednoczyć.AI