Звіти

Стан тестування на проникнення у 2025 році: чому перевірка безпеки на основі штучного інтелекту тепер є стратегічним імперативом

опублікований Травень 7, 2025

Антуан Тардіф, Генеральний директор та засновник Unite.AI

Команда Звіт про стан тестування на проникнення за 2025 рік Книга від Pentera змальовує вражаючу картину кібербезпекового ландшафту, що перебуває в облозі та швидко розвивається. Це не просто історія про захист цифрових кордонів; це план того, як підприємства трансформують свій підхід до безпеки, зумовлений автоматизацією, інструментами на основі штучного інтелекту та невпинним тиском реальних загроз.

Порушення зберігаються, незважаючи на посилення заходів безпеки

Незважаючи на впровадження дедалі складніших стеків безпеки, 67% підприємств США повідомили про порушення безпеки протягом останніх 24 місяців. Ці інциденти також не були незначними — 76% повідомили про прямий вплив на конфіденційність, цілісність або доступність даних, 36% зазнали незапланованих простоїв, тоді як 28% зіткнулися з фінансовими втратами.

Кореляція очевидна: зі зростанням складності стеку зростають і сповіщення, і порушення. Підприємства, які використовують понад 100 інструментів безпеки, стикалися в середньому з 3,074 сповіщеннями щотижня, тоді як ті, що використовують від 76 до 100 інструментів, стикалися з 2,048 сповіщеннями на тиждень.

Однак ця лавина даних часто перевантажує служби безпеки, затримуючи час реагування та дозволяючи реальним загрозам прослизати крізь щілини.

Страхування кібербезпеки формує впровадження технологій

Кіберстраховики стали неочікуваними рушійними силами інновацій у сфері кібербезпеки. Вражаючі 59% підприємств США впровадили нові інструменти безпеки спеціально на запит свого страховика, а 93% директорів з інформаційної безпеки повідомили, що страховики вплинули на їхні позиції щодо безпеки. У багатьох випадках ці рекомендації виходили за рамки дотримання вимог — вони формували технологічну стратегію.

Зростання програмного тестування на проникнення

Ручне тестування на проникнення більше не є стандартним. Понад 55% організацій зараз покладаються на програмне тестування на проникнення в рамках своїх власних програм, а ще 49% використовують сторонніх постачальників. Натомість лише 17% все ще покладаються виключно на внутрішнє ручне тестування.

Цей перехід до автоматизоване змагальне тестування відображає ширшу тенденцію: потребу в масштабованій, повторюваній та валідації в режимі реального часу в епоху постійно мінливих загроз. Ці автоматизовані платформи імітують атаки, починаючи від безфайлового шкідливого програмного забезпечення до ескалації привілеїв, дозволяючи підприємствам безперервно та безперебійно оцінювати свою стійкість.

Бюджети на безпеку швидко зростають

Безпека не дешевшає, але організації все одно надають їй пріоритет. Середній річний бюджет на тестування на проникнення становить 187,000 10.5 доларів США, що становить 10,000% від загальних витрат на ІТ-безпеку. Більші підприємства (з понад 216,000 XNUMX співробітників) витрачають ще більше — в середньому XNUMX XNUMX доларів США на рік.

У 2025 році 50% підприємств планують збільшити свої бюджети на тестування на проникнення, а 47.5% очікують зростання загальних витрат на безпеку. Лише 10% очікують зменшення інвестицій. Ці цифри свідчать про те, що безпека перестала бути операційною необхідністю та стала пріоритетом для засідань ради директорів.

Тестування безпеки все ще наздоганяє

Ось вражаюча невідповідність: 96% підприємств повідомляють про зміни в інфраструктурі принаймні щоквартально, але лише 30% проводять тестування на проникнення з такою ж частотою. Результат? Нові вразливості прослизають крізь непротестовані зміни, розширюючи поверхню атаки з кожним оновленням програмного забезпечення або конфігурації.

Лише 13% великих підприємств з понад 10,000 XNUMX співробітників проводять щоквартальні пентести. Тим часом майже половина все ще тестує лише раз на рік, що є небезпечним відставанням у сучасному динамічному середовищі загроз.

Узгодження ризиків чіткіше, ніж будь-коли

Обнадійливо, що лідери у сфері безпеки зосереджують тестування там, де фактично відбуваються порушення. Майже 57% надають пріоритет веб-активам, далі йдуть внутрішні сервери, API, хмарна інфраструктура та пристрої Інтернету речей. Таке узгодження відображає зростаюче усвідомлення того, що зловмисники не дискримінують — вони використовують будь-яку доступну вразливість на всій поверхні атаки.

API, зокрема, стали пріоритетною ціллю як для зловмисників, так і для захисників. Ці інтерфейси стають дедалі важливішими для бізнес-операцій, але часто не мають видимості та стандартного моніторингу, що робить їх зручними для експлуатації.

Впровадження результатів пентесту

Звіти про пентести більше не відкладаються. Натомість 62% підприємств негайно передають результати до ІТ-відділу для визначення пріоритетності виправлень, 47% діляться результатами з вищим керівництвом, а 21% звітують безпосередньо перед своїми радами директорів або регуляторами.

Цей зсув у бік дії відображає глибшу інтеграцію пентестування у стратегічне управління ризиками, а не лише перевірку відповідності вимогам. Перевірка безпеки стає частиною бізнес-розмов.

Що стримує ще швидший прогрес?

Хоча лінії тренду позитивні, ключові перешкоди залишаються. Двома головними перешкодами для частішого пентестування є бюджетні обмеження (44%) та брак доступних пентестерів (48%) – останнє відображає глобальна нестача 4 мільйонів фахівців з кібербезпеки, повідомляє Світовий економічний форум.

Операційний ризик, такий як страх перебоїв під час тестування, залишається проблемою для 30% керівників інформаційних систем.

Від зобов'язання щодо дотримання вимог до стратегічної зброї

Пентестування еволюціонувало далеко за межі свого витоку як регуляторної вимоги. Сьогодні воно підтримує стратегічні ініціативи, включаючи due diligence у сфері злиттів та поглинань та прийняття рішень на рівні керівництва. Майже третина респондентів зараз називають «виконавчі обов'язки» та «підготовку до злиттів та поглинань» ключовими причинами проведення пентестування.

Це знаменує собою фундаментальну трансформацію: від реактивної перевірки до проактивного та безперервного вимірювання кіберстійкості.

Заключні думки

Команда Звіт про стан тестування на проникнення за 2025 рік це більше, ніж просто оновлення статусу, це сигнал тривоги. Зі зростанням площин атак та зростанням складності зловмисників, організації більше не можуть дозволити собі повільні, ручні чи ізольовані підходи до тестування безпеки. Тестування на проникнення на основі програмного забезпечення на базі штучного інтелекту допомагає скоротити цей розрив завдяки швидкості, масштабуванню та аналітиці.

Організації, які процвітатимуть у цю нову еру, будуть тими, які ставляться до перевірки безпеки не лише як до технічної необхідності, а й як до стратегічного імперативу.

Щоб отримати більше інформації, завантажте повну версію Звіт про стан тестування на проникнення за 2025 рік від Пентери.

Схожі теми:Пентенінг звітом звіти

Вгору Далі

Коли ШІ дає зворотний ефект: Звіт Enkrypt AI викриває небезпечні вразливості в мультимодальних моделях

Не пропустіть

Як шахраї використовують ШІ для банківського шахрайства

Антуан Тардіф

Антуан — далекоглядний лідер і партнер-засновник Unite.AI, керований непохитною пристрастю до формування та просування майбутнього ШІ та робототехніки. Будучи серійним підприємцем, він вірить, що штучний інтелект буде таким же руйнівним для суспільства, як електрика, і його часто ловлять на захопленні потенціалом революційних технологій і AGI.

Як футурист, він присвячений дослідженню того, як ці інновації впливатимуть на наш світ. Крім того, він є засновником Securities.io, платформа, орієнтована на інвестиції в передові технології, які переосмислюють майбутнє та змінюють цілі сектори.

Об'єднуйтесь.AI