Connect with us

Стан пентестування в 2025 році: чому валідация безпеки на основі штучного інтелекту тепер є стратегічною необхідністю

Кібербезпека

Стан пентестування в 2025 році: чому валідация безпеки на основі штучного інтелекту тепер є стратегічною необхідністю

mm
Published
Updated

Звіт Про стан пентестування в 2025 році компанії Pentera малює яскраву картину кібербезпекової ландшафту, який знаходиться під нападом і швидко еволюціонує. Це не просто історія про захист цифрових кордонів; це蓝принт того, як підприємства трансформують свій підхід до безпеки, керований автоматизацією, інструментами на основі штучного інтелекту та невпинною тиском реальних загроз.

Нарушення тривають попри більші стеки безпеки

Незважаючи на те, що підприємства розгортають усе більш складні стеки безпеки, 67% підприємств у США повідомили про порушення безпеки за останні 24 місяці. Це не були незначними інцидентами – 76% повідомили про прямий вплив на конфіденційність, цілісність або доступність даних, а 36% пережили незаплановане відключення, тоді як 28% зазнали фінансових втрат.

Кореляція очевидна: чим складніший стек безпеки, тим більше сигналів тривоги – і тим більше порушень. Підприємства, які використовують понад 100 інструментів безпеки, мали в середньому 3 074 сигналів тривоги на тиждень, тоді як ті, які використовували від 76 до 100 інструментів, мали 2 048 сигналів тривоги на тиждень.

Однак цей лавиноподібний потік даних часто перевантажує команди безпеки, що затримує час реакції і дозволяє реальним загрозам прослизнути крізь тріщини.

Страхування кібербезпеки формує прийняття технологій

Страхові компанії кібербезпеки стали несподіваними двигунами інновацій у сфері кібербезпеки. Яскраво 59% підприємств у США реалізували нові інструменти безпеки спеціально на прохання страховика, а 93% керівників служби безпеки повідомили, що страховиків впливають на їхню позицію щодо безпеки. У багатьох випадках ці рекомендації виходили за рамки вимог до відповідності – вони формували технологічну стратегію.

Рост програмного забезпечення для пентестування

Ручне пентестування вже не є стандартним. Більше 55% організацій тепер покладаються на програмне забезпечення для пентестування в рамках своїх внутрішніх програм, ще 49% використовують послуги третіх сторін. Натомість лише 17% все ще покладаються виключно на ручне тестування всередині компанії.

Цей перехід до автоматизованого тестування на Basis відображає ширший тренд: необхідність масштабованої, повторюваної та реальної валідації в епоху постійно еволюючих загроз. Ці автоматизовані платформи імітують атаки, починаючи від безфайлового шкідливого ПО і закінчуючи підвищенням привілеїв, що дозволяє підприємствам оцінювати свою стійкість безперервно і без перерви.

Бюджети безпеки зростають – швидко

Безпека не стає дешевшою, але організації все одно пріоритезують її. Середній річний бюджет на пентестування становить 187 000 доларів США, що становить 10,5% від загальних витрат на ІТ-безпеку. Більші підприємства (10 000+ працівників) витрачають ще більше – в середньому 216 000 доларів США на рік.

У 2025 році 50% підприємств планують збільшити свої бюджети на пентестування, а 47,5% очікують зростання загальних витрат на безпеку. Лише 10% очікують зменшення інвестицій. Ці цифри підкреслюють зростання безпеки з операційної необхідності до пріоритету ради директорів.

Тестування безпеки все ще відстає

Ось приголомшлива роз’єднаність: 96% підприємств повідомили про зміни інфраструктури至少 раз на квартал, але лише 30% проводять пентестування з такою ж частотою. Результат? Нові уразливості прослизнуть крізь не протестовані зміни, розширюючи поверхню атаки з кожним оновленням програмного забезпечення або оновленням конфігурації.

Лише 13% великих підприємств з понад 10 000 працівниками проводять квартальні пентести. Тоді як майже половина все ще тестує лише раз на рік – це небезпечна затримка в сучасному динамічному середовищі загроз.

Вирівнювання ризику гостріше ніж будь-коли

Заохочливо, що лідери служби безпеки фокусують тестування там, де насправді відбуваються порушення. Майже 57% пріоритезують веб-орієнтовані активи, за ними слідують внутрішні сервери, API, хмарна інфраструктура та пристрої IoT. Це вирівнювання відображає зростаючу усвідомленість того, що атакувальники не дискримінують – вони використовують будь-яку доступну уразливість по всій поверхні атаки.

API, зокрема, виникли як високопріоритетна ціль, як для атакувальників, так і для захисників. Ці інтерфейси все частіше стають життєво важливими для бізнес-операцій, але часто не мають видимості та стандартного моніторингу, що робить їх зручними для експлуатації.

Операціоналізація результатів пентестування

Звіти про пентестування вже не складені на полиці. Натомість 62% підприємств негайно передають результати до ІТ для пріоритезації виправлення, тоді як 47% діляться результатами з вищим керівництвом і 21% звітують безпосередньо до ради директорів або регуляторів.

Цей зсув до дії відображає глибшу інтеграцію пентестування в стратегічне управління ризиками – не просто перевірку відповідності. Валідация безпеки стає частиною бізнес-розмови.

Що утримує прогрес?

Хоча тренд лінії позитивні, залишаються ключові інгібітори. Два основні бар’єри для більш частого пентестування – бюджетні обмеження (44%) та відсутність доступних пентестерів (48%) – останнє відображає глобальну нестачу 4 мільйонів фахівців у сфері кібербезпеки, згідно з Всесвітнім економічним форумом.

Операційний ризик, такий як страх відключення під час тестування, залишається проблемою для 30% керівників служби безпеки.

Від обов’язку щодо відповідності до стратегічної зброї

Пентестування еволюціонувало далеко за межі свого походження як нормативного вимог. Сьогодні воно підтримує стратегічні ініціативи, включаючи диліжанс при злитті та поглинанні та прийняття рішень на рівні керівництва. Майже одна третина респондентів зараз вказують “мандат керівництва” та “підготовку до злиття та поглинання” як ключові причини проведення пентестування.

Це позначає фундаментальну трансформацію: з реактивного огляду до проактивного та безперервного заходу кіберстійкості.

Останні думки

Звіт Про стан пентестування в 2025 році – це більше, ніж просто оновлення статусу – це сигнал тривоги. Коли поверхня атаки зростає, а загрози стають все більш складними, організації вже не можуть дозволити собі повільні, ручні або ізольовані підходи до тестування безпеки. Пентестування на основі штучного інтелекту та програмного забезпечення крокує, щоб закрити цю прогалину з швидкістю, масштабом та інсайтом.

Ті організації, які процвітатимуть в цій новій ері, будуть тими, які вважають валідацию безпеки не просто технічною необхідністю, а стратегічною необхідністю.

Для отримання більшої кількості інсайтів завантажте повний Звіт про стан пентестування в 2025 році від Pentera.

mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.