Rapoarte
Starea pentestingului în 2025: De ce validarea securității bazată pe inteligență artificială este acum un imperativ strategic
Raportul Sondajului privind Starea Testării Pentice din 2025 Articolul realizat de Pentera prezintă o imagine izbitoare a unui peisaj al securității cibernetice aflat sub asediu – și care evoluează rapid. Nu este vorba doar de apărarea granițelor digitale; este un model al modului în care companiile își transformă abordarea în materie de securitate, impulsionate de automatizare, instrumente bazate pe inteligență artificială și presiunea neobosită a amenințărilor din lumea reală.
Breșele de securitate persistă în ciuda unor stive de securitate mai mari
În ciuda implementării unor stive de securitate din ce în ce mai complexe, 67% dintre companiile din SUA au raportat că au experimentat o încălcare a securității în ultimele 24 de luni. Nici acestea nu au fost incidente minore - 76% au raportat un impact direct asupra confidențialității, integrității sau disponibilității datelor, iar 36% s-au confruntat cu perioade de nefuncționare neplanificate, în timp ce 28% s-au confruntat cu pierderi financiare.
Corelația este clară: pe măsură ce complexitatea stivei crește, cresc și alertele - și breșele de securitate. Întreprinderile care utilizează peste 100 de instrumente de securitate s-au confruntat cu o medie de 3,074 de alerte săptămânale, în timp ce cele care utilizează între 76 și 100 de instrumente s-au confruntat cu 2,048 de alerte pe săptămână.
Totuși, această avalanșă de date copleșește adesea echipele de securitate, întârziind timpii de răspuns și permițând amenințărilor reale să treacă printre crăpături.
Asigurarea de securitate cibernetică modelează adoptarea tehnologiei
Asigurătorii cibernetici au devenit factori neașteptați ai inovației în domeniul securității cibernetice. Un procent uimitor de 59% dintre companiile din SUA au implementat noi instrumente de securitate special la cererea asigurătorului lor, iar 93% dintre CISO-uri au raportat că asigurătorii le-au influențat posturile de securitate. În multe cazuri, aceste recomandări au depășit limita conformității - au modelat strategia tehnologică.
Ascensiunea pentesting-ului bazat pe software
Testarea manuală pentesting nu mai este implicită. Peste 55% dintre organizații se bazează acum pe pentesting bazat pe software în cadrul programelor lor interne, iar alte 49% utilizează furnizori terți. În schimb, doar 17% se bazează încă exclusiv pe testarea manuală internă.
Această tranziție către testarea automată a adversarilor reflectă o tendință mai amplă: nevoia de validare scalabilă, repetabilă și în timp real într-o eră a amenințărilor în continuă evoluție. Aceste platforme automate simulează atacuri variind de la programe malware fără fișiere până la escaladarea privilegiilor, permițând companiilor să își evalueze reziliența în mod continuu și fără întreruperi.
Bugetele de securitate cresc rapid
Securitatea nu se ieftinește, dar organizațiile o prioritizează oricum. Bugetul mediu anual pentru testarea pentei este de 187,000 USD, reprezentând 10.5% din cheltuielile totale pentru securitatea IT. Întreprinderile mai mari (peste 10,000 de angajați) cheltuiesc și mai mult - o medie de 216,000 USD anual.
În 2025, 50% dintre companii intenționează să își mărească bugetele pentru pentesting, iar 47.5% se așteaptă să își mărească cheltuielile totale pentru securitate. Doar 10% anticipează o scădere a investițiilor. Aceste cifre evidențiază creșterea securității de la o necesitate operațională la o prioritate pentru consiliile de administrație.
Testarea securității încă recuperează terenul pierdut
Iată o discrepanță surprinzătoare: 96% dintre companii raportează modificări ale infrastructurii cel puțin trimestrial, dar doar 30% efectuează teste pentesting cu aceeași frecvență. Rezultatul? Noi vulnerabilități se strecoară printre modificările netestate, extinzând suprafața de atac cu fiecare push de software sau actualizare de configurație.
Doar 13% dintre întreprinderile mari cu peste 10,000 de angajați efectuează teste de penetrare trimestriale. Între timp, aproape jumătate încă testează doar o dată pe an - o întârziere periculoasă în mediul dinamic de amenințări actual.
Alinierea riscurilor este mai precisă ca niciodată
În mod încurajator, liderii în domeniul securității își concentrează testarea acolo unde au loc efectiv breșele de securitate. Aproape 57% acordă prioritate activelor orientate către web, urmate de serverele interne, API-urile, infrastructura cloud și dispozitivele IoT. Această aliniere reflectă o conștientizare tot mai mare a faptului că atacatorii nu discriminează - ei exploatează orice vulnerabilitate disponibilă pe întreaga suprafață de atac.
API-urile, în special, au devenit o țintă prioritară, atât pentru atacatori, cât și pentru apărători. Aceste interfețe sunt din ce în ce mai esențiale pentru operațiunile de afaceri, dar adesea le lipsesc vizibilitatea și monitorizarea standard, ceea ce le face potrivite pentru exploatare.
Operaționalizarea rezultatelor testului Pen
Rapoartele de testare a performanțelor nu mai sunt puse la iveală. În schimb, 62% dintre companii transferă imediat constatările către departamentul IT pentru prioritizarea remedierilor, în timp ce 47% împărtășesc rezultatele cu conducerea superioară, iar 21% raportează direct consiliilor de administrație sau autorităților de reglementare.
Această trecere către acțiune reflectă o integrare mai profundă a pentesting-ului în managementul strategic al riscului - nu doar în bifarea opțiunilor de conformitate. Validarea securității devine parte a conversației de afaceri.
Ce împiedică progresul și mai rapid?
Deși liniile de tendință sunt pozitive, principalele inhibiții rămân. Principalele două bariere în calea unor pentesting-uri mai frecvente sunt constrângerile bugetare (44%) și lipsa pentester-ilor disponibili (48%) - acesta din urmă reflectând o deficit global de 4 milioane de profesioniști în domeniul securității cibernetice, conform Forumului Economic Mondial.
Riscul operațional, cum ar fi teama de întreruperi în timpul testelor, rămâne o preocupare pentru 30% dintre CISO-uri.
De la obligația de conformitate la armă strategică
Testarea pentesting a evoluat mult dincolo de originile sale ca cerință de reglementare. Astăzi, aceasta susține inițiative strategice, inclusiv due diligence-ul în fuziuni și achiziții și procesul decizional la nivel executiv. Aproape o treime dintre respondenți citează acum „mandatul executiv” și „pregătirea pentru fuziuni și achiziții” drept motive cheie pentru efectuarea testelor pentesting.
Aceasta marchează o transformare fundamentală: de la o verificare reactivă la o măsură proactivă și continuă a rezilienței cibernetice.
Gânduri finale
Raportul Sondajului privind Starea Testării Pentice din 2025 este mai mult decât o actualizare de stare - este un semnal de alarmă. Pe măsură ce suprafețele de atac se extind și actorii amenințători devin mai sofisticați, organizațiile nu își mai permit abordări lente, manuale sau izolate pentru testarea securității. Testarea pentesting bazată pe software și bazată pe inteligență artificială intervine pentru a reduce acest decalaj prin viteză, scalabilitate și informații utile.
Organizațiile care vor prospera în această nouă eră vor fi cele care tratează validarea securității nu doar ca pe o necesitate tehnică, ci ca pe un imperativ strategic.
Pentru mai multe informații, descărcați versiunea completă Raportul Sondajului privind Starea Testării Pentice din 2025 din Pentera.
