Relatórios
O estado do Pentest em 2025: por que a validação de segurança orientada por IA agora é um imperativo estratégico
A Relatório da Pesquisa sobre o Estado dos Pentests de 2025 da Pentera pinta um panorama impressionante de um cenário de segurança cibernética sob ataque — e em rápida evolução. Esta não é apenas uma história sobre a defesa das fronteiras digitais; é um modelo de como as empresas estão transformando sua abordagem à segurança, impulsionadas pela automação, ferramentas baseadas em IA e pela pressão implacável das ameaças do mundo real.
Violações persistem apesar de maiores pilhas de segurança
Apesar da implantação de pilhas de segurança cada vez mais complexas, 67% das empresas americanas relataram ter sofrido uma violação nos últimos 24 meses. E não foram incidentes menores — 76% relataram um impacto direto na confidencialidade, integridade ou disponibilidade dos dados, 36% sofreram paralisações não planejadas e 28% enfrentaram perdas financeiras.
A correlação é clara: à medida que a complexidade da pilha aumenta, também aumentam os alertas — e as violações. Empresas que utilizam mais de 100 ferramentas de segurança receberam uma média de 3,074 alertas semanais, enquanto aquelas que utilizam entre 76 e 100 ferramentas enfrentaram 2,048 alertas por semana.
No entanto, essa avalanche de dados muitas vezes sobrecarrega as equipes de segurança, atrasando os tempos de resposta e permitindo que ameaças reais passem despercebidas.
O seguro de segurança cibernética está moldando a adoção da tecnologia
As seguradoras cibernéticas tornaram-se impulsionadoras inesperadas da inovação em segurança cibernética. Impressionantes 59% das empresas americanas implementaram novas ferramentas de segurança especificamente a pedido de suas seguradoras, e 93% dos CISOs relataram que as seguradoras influenciaram suas posturas de segurança. Em muitos casos, essas recomendações foram além da conformidade — elas moldaram a estratégia tecnológica.
A ascensão do teste de penetração baseado em software
O teste de penetração manual não é mais o padrão. Mais de 55% das organizações agora contam com testes de penetração baseados em software em seus programas internos, enquanto outras 49% utilizam provedores terceirizados. Em contraste, apenas 17% ainda dependem exclusivamente de testes manuais internos.
Esta transição para testes adversariais automatizados reflete uma tendência mais ampla: a necessidade de validação escalável, repetÃvel e em tempo real em uma era de ameaças em constante evolução. Essas plataformas automatizadas simulam ataques que variam de malware sem arquivo a escalonamento de privilégios, permitindo que as empresas avaliem sua resiliência continuamente e sem interrupções.
Os orçamentos de segurança estão crescendo rapidamente
A segurança não está ficando mais barata, mas as organizações estão priorizando-a mesmo assim. O orçamento médio anual para testes de penetração é de US$ 187,000, representando 10.5% do gasto total com segurança de TI. Empresas maiores (mais de 10,000 funcionários) gastam ainda mais — uma média de US$ 216,000 por ano.
Em 2025, 50% das empresas planejam aumentar seus orçamentos para testes de penetração e 47.5% esperam aumentar seus gastos gerais com segurança. Apenas 10% preveem uma redução no investimento. Esses números destacam a ascensão da segurança de uma necessidade operacional para uma prioridade da diretoria.
Os testes de segurança ainda estão tentando se atualizar
Eis uma desconexão alarmante: 96% das empresas relatam mudanças de infraestrutura pelo menos trimestralmente, mas apenas 30% realizam testes de penetração com a mesma frequência. O resultado? Novas vulnerabilidades se infiltram em mudanças não testadas, expandindo a superfÃcie de ataque a cada atualização de software ou configuração.
Apenas 13% das grandes empresas com mais de 10,000 funcionários realizam testes de penetração trimestrais. Enquanto isso, quase metade ainda realiza apenas uma vez por ano — um atraso perigoso no ambiente dinâmico de ameaças atual.
O alinhamento de riscos está mais nÃtido do que nunca
Felizmente, os lÃderes de segurança estão concentrando os testes onde as violações realmente acontecem. Quase 57% priorizam ativos voltados para a web, seguidos por servidores internos, APIs, infraestrutura em nuvem e dispositivos de IoT. Esse alinhamento reflete uma conscientização crescente de que os invasores não discriminam — eles exploram qualquer vulnerabilidade disponÃvel em toda a superfÃcie de ataque.
As APIs, em particular, surgiram como um alvo de alta prioridade, tanto para invasores quanto para defensores. Essas interfaces são cada vez mais essenciais para as operações comerciais, mas muitas vezes carecem de visibilidade e monitoramento padrão, o que as torna vulneráveis ​​à exploração.
Operacionalizando Resultados de Pentest
Os relatórios de testes de penetração não estão mais sendo arquivados. Em vez disso, 62% das empresas transferem imediatamente as descobertas para a TI para priorização de remediação, enquanto 47% compartilham os resultados com a alta gerência e 21% reportam diretamente aos seus conselhos ou órgãos reguladores.
Essa mudança em direção à ação reflete uma integração mais profunda do teste de penetração na gestão estratégica de riscos — não apenas a verificação de conformidade. A validação de segurança está se tornando parte do debate empresarial.
O que está impedindo um progresso ainda mais rápido?
Embora as tendências sejam positivas, os principais inibidores permanecem. As duas principais barreiras para a frequência de testes de penetração mais frequente são as restrições orçamentárias (44%) e a falta de pentesters disponÃveis (48%) — este último refletindo uma déficit global de 4 milhões de profissionais de segurança cibernética, de acordo com o Fórum Econômico Mundial.
O risco operacional, como o medo de interrupções durante os testes, continua sendo uma preocupação para 30% dos CISOs.
Da obrigação de conformidade à arma estratégica
Os testes de penetração evoluÃram muito além de suas origens como requisito regulatório. Hoje, eles apoiam iniciativas estratégicas, incluindo due diligence em fusões e aquisições e tomada de decisões em nÃvel executivo. Quase um terço dos entrevistados citam "mandato executivo" e "preparação para fusões e aquisições" como os principais motivos para a realização de testes de penetração.
Isso marca uma transformação fundamental: de uma verificação reativa para uma medida proativa e contÃnua de resiliência cibernética.
Considerações Finais
A Relatório da Pesquisa sobre o Estado dos Pentests de 2025 é mais do que uma atualização de status — é um alerta. À medida que as superfÃcies de ataque crescem e os agentes de ameaças se tornam mais sofisticados, as organizações não podem mais se dar ao luxo de abordagens lentas, manuais ou isoladas para testes de segurança. O pentesting baseado em software e com tecnologia de IA está entrando em cena para preencher essa lacuna com velocidade, escala e insights.
As organizações que prosperarão nesta nova era serão aquelas que tratarem a validação de segurança não apenas como uma necessidade técnica, mas como um imperativo estratégico.
Para mais informações, baixe o arquivo completo Relatório da Pesquisa sobre o Estado dos Pentests de 2025 de Pentera.
