Согласно отчетам

Состояние пентестинга в 2025 году: почему проверка безопасности на основе ИИ теперь является стратегическим императивом

опубликованный 7 мая 2025

Антуан Тардиф, Генеральный директор и основатель Unite.AI

Радиус корня Отчет о состоянии исследования пентестинга за 2025 год Pentera рисует поразительную картину ландшафта кибербезопасности под осадой — и быстро меняющегося. Это не просто история о защите цифровых границ; это план того, как предприятия трансформируют свой подход к безопасности, движимые автоматизацией, инструментами на основе ИИ и неослабевающим давлением реальных угроз.

Несмотря на более масштабные пакеты безопасности, нарушения продолжаются

Несмотря на внедрение всё более сложных систем безопасности, 67% американских предприятий сообщили о нарушениях безопасности за последние 24 месяца. И это были не незначительные инциденты: 76% сообщили о прямом влиянии на конфиденциальность, целостность или доступность данных, 36% столкнулись с незапланированными простоями, а 28% понесли финансовые потери.

Корреляция очевидна: по мере роста сложности стека растут и оповещения, и нарушения. Предприятия, использующие более 100 инструментов безопасности, получали в среднем 3,074 еженедельных оповещения, тогда как те, кто использовал от 76 до 100 инструментов, получали 2,048 оповещений в неделю

Однако этот поток данных часто перегружает службы безопасности, задерживая время реагирования и позволяя реальным угрозам ускользать от внимания.

Страхование кибербезопасности формирует принятие технологий

Киберстраховщики стали неожиданными драйверами инноваций в области кибербезопасности. Поразительно, но 59% предприятий США внедрили новые инструменты безопасности специально по запросу своего страховщика, а 93% руководителей служб информационной безопасности сообщили, что страховщики повлияли на их позиции в области безопасности. Во многих случаях эти рекомендации выходили за рамки соответствия — они формировали техническую стратегию.

Рост популярности программного пентестинга

Ручное пентестирование больше не является стандартным. Более 55% организаций теперь используют программное пентестирование в своих внутренних программах, а еще 49% используют сторонних поставщиков. Напротив, только 17% по-прежнему полагаются исключительно на внутреннее ручное тестирование.

Этот переход к автоматизированное состязательное тестирование отражает более широкую тенденцию: потребность в масштабируемой, повторяемой и в реальном времени проверке в эпоху постоянно меняющихся угроз. Эти автоматизированные платформы имитируют атаки, начиная от вредоносных программ без файлов и заканчивая повышением привилегий, позволяя предприятиям оценивать свою устойчивость непрерывно и без сбоев.

Бюджеты на безопасность растут — быстро

Безопасность не дешевеет, но организации все равно отдают ей приоритет. Средний годовой бюджет на пентестинг составляет $187,000 10.5, что составляет 10,000% от общих расходов на ИТ-безопасность. Более крупные предприятия (216,000 XNUMX+ сотрудников) тратят еще больше — в среднем $XNUMX XNUMX в год.

В 2025 году 50% предприятий планируют увеличить бюджеты на пентестинг, а 47.5% ожидают роста общих расходов на безопасность. Только 10% ожидают сокращения инвестиций. Эти цифры свидетельствуют о том, что безопасность перестает быть производственной необходимостью и становится приоритетом для руководства.

Тестирование безопасности все еще играет в догонялки

Вот поразительное несоответствие: 96% предприятий сообщают об изменениях инфраструктуры по крайней мере ежеквартально, но только 30% проводят пентестинг с той же частотой. Результат? Новые уязвимости проскальзывают сквозь непроверенные изменения, расширяя поверхность атаки с каждым обновлением программного обеспечения или конфигурации.

Только 13% крупных предприятий с более чем 10,000 XNUMX сотрудников проводят ежеквартальные пентесты. Между тем, почти половина по-прежнему проводит тестирование только один раз в год — опасное отставание в сегодняшней динамичной среде угроз.

Выравнивание рисков стало более четким, чем когда-либо

Обнадеживает тот факт, что руководители служб безопасности сосредоточивают тестирование именно на тех областях, где происходят нарушения. Почти 57% отдают приоритет веб-ресурсам, за которыми следуют внутренние серверы, API, облачная инфраструктура и устройства Интернета вещей. Такое соответствие отражает растущее понимание того, что злоумышленники не делают различий — они используют любую доступную уязвимость на всей поверхности атаки.

API, в частности, стали высокоприоритетной целью как для атакующих, так и для защитников. Эти интерфейсы становятся все более важными для бизнес-операций, но часто не имеют видимости и стандартного мониторинга, что делает их пригодными для эксплуатации.

Использование результатов пентеста

Отчеты о пентестах больше не откладываются на полку. Вместо этого 62% предприятий немедленно передают результаты в ИТ для приоритизации исправления, в то время как 47% делятся результатами с высшим руководством, а 21% отчитываются напрямую перед своими советами директоров или регулирующими органами.

Этот сдвиг в сторону действия отражает более глубокую интеграцию пентестинга в стратегическое управление рисками, а не просто проверку соответствия. Проверка безопасности становится частью делового разговора.

Что сдерживает еще более быстрый прогресс?

Хотя тренды положительны, основные ингибиторы остаются. Двумя главными препятствиями для более частого пентестинга являются бюджетные ограничения (44%) и нехватка доступных пентестеров (48%) — последнее отражает Глобальная нехватка 4 миллионов специалистов по кибербезопасности, по данным Всемирного экономического форума.

Операционный риск, такой как страх сбоев во время тестирования, по-прежнему вызывает беспокойство у 30% руководителей служб информационной безопасности.

От обязательства соблюдения к стратегическому оружию

Пентестинг вышел далеко за рамки своего происхождения как нормативного требования. Сегодня он поддерживает стратегические инициативы, включая комплексную проверку слияний и поглощений и принятие решений на уровне руководства. Почти треть респондентов теперь называют «исполнительный мандат» и «подготовку к слияниям и поглощениям» основными причинами проведения пентестов.

Это знаменует собой фундаментальную трансформацию: от реактивной проверки к проактивной и постоянной мере киберустойчивости.

Заключение

Радиус корня Отчет о состоянии исследования пентестинга за 2025 год больше, чем обновление статуса — это звонок для пробуждения. По мере того, как поверхности атак растут, а субъекты угроз становятся все более изощренными, организации больше не могут позволить себе медленные, ручные или разрозненные подходы к тестированию безопасности. Программное обеспечение на основе ИИ-технологий пентестинга вступает в игру, чтобы закрыть этот пробел с помощью скорости, масштаба и понимания.

В эту новую эпоху преуспеют те организации, которые относятся к проверке безопасности не просто как к технической необходимости, а как к стратегическому императиву.

Для получения более подробной информации загрузите полную версию Отчет о состоянии исследования пентестинга за 2025 год из Пентеры.

Похожие темы:Pentesting докладе сообщениях

Когда ИИ дает обратный эффект: отчет Enkrypt AI раскрывает опасные уязвимости в мультимодальных моделях

Не пропустите

Как мошенники используют ИИ в банковском мошенничестве

Антуан Тардиф

Антуан — дальновидный лидер и партнер-основатель Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Серийный предприниматель, он считает, что ИИ будет таким же разрушительным для общества, как электричество, и его часто ловят на том, что он восторженно отзывается о потенциале разрушительных технологий и AGI.

футурист, он посвятил себя изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Ценные бумаги.io, платформа, ориентированная на инвестиции в передовые технологии, которые меняют будущее и преобразуют целые секторы.

Unite.ИИ