Connect with us

网络安全

2025 年的渗透测试现状:为什么 AI 驱动的安全验证现在是一个战略性必备

mm
Published
Updated

Pentera 的 2025 年渗透测试现状调查报告 描绘了一个令人震惊的网络安全格局图景,这个格局正在迅速演变。这不仅仅是一个关于捍卫数字边界的故事;它是关于企业如何转变他们的安全方法的蓝图,这种转变是由自动化、基于 AI 的工具和现实世界威胁的不懈压力驱动的。

尽管安全栈越来越大,漏洞仍然存在

尽管部署了越来越复杂的安全栈,67% 的美国企业在过去 24 个月内报告了漏洞事件。这些事件并非微不足道——76% 报告了对数据机密性、完整性或可用性的直接影响,36% 经历了计划外停机,而 28% 面临了财务损失。

相关性很明显:随着安全栈的复杂性增加,警报和漏洞也增加了。使用超过 100 个安全工具的企业平均每周收到 3,074 个警报,而使用 76-100 个工具的企业每周面临 2,048 个警报

然而,这些数据的雪崩往往会让安全团队感到不知所措,延迟响应时间,并让真正的威胁悄悄地溜过去。

网络安全保险正在塑造技术采用

网络保险提供商已经成为网络安全创新意外的驱动力。令人惊讶的是,59% 的美国企业在保险公司的要求下实施了新的安全工具,93% 的 CISO 报告说保险公司影响了他们的安全态势。在许多情况下,这些建议超出了合规性——它们塑造了技术战略。

软件渗透测试的崛起

手动渗透测试不再是默认选择。超过 55% 的组织现在依赖软件渗透测试作为他们的内部计划的一部分,另外 49% 使用第三方提供商。相比之下,只有 17% 仍然仅依赖内部手动测试。

这种转向 自动对抗测试 反映了一个更广泛的趋势:在威胁不断演变的时代,需要可扩展、可重复和实时的验证。这些自动化平台模拟从无文件恶意软件到权限升级的攻击,使企业能够在不中断的情况下持续评估其弹性。

安全预算正在迅速增长

安全并没有变得更便宜,但组织仍然将其放在优先位置。平均年度渗透测试预算为 187,000 美元,占总 IT 安全支出的 10.5%。较大的企业(10,000 名以上员工)每年支出甚至更多——平均为 216,000 美元。

在 2025 年,50% 的企业计划增加他们的渗透测试预算,47.5% 预计会增加他们的整体安全支出。只有 10% 预计会减少投资。这些数字凸显了安全性从运营必要性到董事会议事日程的崛起。

安全测试仍然在赶上

这里有一个令人惊讶的脱节:96% 的企业报告每季度至少发生一次基础设施变化,但只有 30% 的企业以相同的频率进行渗透测试。结果是新的漏洞通过未经测试的更改溜过去,随着每次软件推送或配置更新,攻击面都在扩大。

只有 13% 的拥有 10,000 名以上员工的大型企业每季度进行渗透测试。同时,几乎有一半的企业仍然只测试一次每年——在今天的动态威胁环境中,这是一个危险的滞后。

风险对齐比以往任何时候都更明显

令人鼓舞的是,安全领导者正在将测试集中在漏洞实际发生的地方。近 57% 的企业优先考虑面向网络的资产,其次是内部服务器、API、云基础设施和 IoT 设备。这种对齐反映了人们对攻击者的认识日益增长——攻击者不会区分他们的目标,他们会利用任何可用的漏洞,遍及整个攻击面。

特别是 API 已经成为攻击者和防御者都关注的高优先级目标。这些接口对于业务运营日益重要,但往往缺乏可见性和标准监控,使其容易被利用。

使渗透测试结果运作

渗透测试报告不再被搁置起来。相反,62% 的企业立即将发现结果转交给 IT 进行补救优先级排序,而 47% 的企业将结果与高级管理层分享,21% 的企业直接向董事会或监管机构报告。

这种转向行动反映了渗透测试与战略风险管理日益紧密的整合——不仅仅是合规性检查。安全验证正在成为商业对话的一部分。

是什么阻碍了更快的进展?

虽然趋势线是积极的,但关键的抑制因素仍然存在。更频繁的渗透测试的前两大障碍是预算约束(44%)和缺乏可用的渗透测试人员(48%)——后者反映了全球 4 万名网络安全专业人员的短缺,根据世界经济论坛的说法,全球网络安全专业人员短缺 400 万人

运营风险,如测试期间的停机恐惧,仍然是 30% 的 CISO 的关注点。

从合规义务到战略武器

渗透测试已经远远超出了其作为监管要求的起源。今天,它支持战略计划,包括并购尽职调查和高管层面的决策。近三分之一的受访者现在将“高管命令”和“为并购做准备”列为进行渗透测试的主要原因。

这标志着一个根本性的转变:从被动的检查到主动和持续的网络安全韧性衡量标准。

最后的思考

Pentera 的 2025 年渗透测试现状调查报告 不仅仅是一个状态更新——它是一个警钟。随着攻击面扩大和威胁行为者变得更加复杂,组织不再能够承受缓慢、手动或孤立的安全测试方法。由 AI 驱动的、基于软件的渗透测试正在通过速度、规模和洞察力填补这一空白。

在这个新时代中,能够茁壮成长的组织将是那些将安全验证视为不仅仅是一种技术必要性,而是一种战略性必备的组织。

要了解更多信息,请下载 Pentera 的完整 2025 年渗透测试现状调查报告

mm

安托万是一位具有远见的领导者和Unite.AI的创始合伙人,他被对塑造和推广AI和机器人人的未来充满不动摇的热情所驱动。作为一位连续创业者,他相信AI将对社会产生与电力一样的颠覆性影响,他经常被听到对颠覆性技术和AGI的潜力大加赞赏。

作为一位未来学家,他致力于探索这些创新将如何塑造我们的世界。另外,他也是Securities.io的创始人,这是一个专注于投资于重新定义未来和重塑整个行业的尖端技术的平台。