2024 年网络安全展望：Pentera 的渗透测试状态报告的关键要点

网络威胁正在以前所未有的速度演变，近期由于大型语言模型（LLMs）的崛起，攻击关键基础设施变得更加容易，这进一步放大了威胁。Pentera 的 2024 年渗透测试状态报告 突出了全球组织网络安全面临的紧迫挑战和正在转变的范式。

该调查在美洲、EMEA 和 APAC 的 450 名 CISO、CIO 和 IT 安全领导者中进行，提供了当前安全验证策略的全面视图，揭示了企业如何在快速演变的世界中应对网络安全的复杂性。

当前网络安全格局的快照

令人惊讶的是，51% 的组织报告称在过去 24 个月内经历了安全漏洞，这凸显了当前企业 IT 环境面临的持续威胁。尽管采用了 持续威胁暴露管理 (CTEM) 框架，组织仍然难以应对意外的停机、数据泄露和重大财务损失，只有 7% 的受访者报告称这些漏洞没有产生重大影响。

财务现实：预算与漏洞

与前一年相比，53% 的组织报告称他们的 2024 年 IT 安全预算要么减少，要么停滞不前。这一残酷的现实对安全领导者提出了重大挑战，他们现在必须用更少的资源做更多的事情，最大限度地提高运营效率，并充分利用现有的安全套件。

领导层参与网络安全

该报告还强调了一种日益增长的趋势：超过 50% 的 CISO 现在与他们的董事会分享渗透测试评估结果，凸显了管理团队和董事会对了解组织韧性和网络事件的潜在运营和业务影响的日益增长的兴趣。

警惕的代价

组织在手动渗透测试上投入了大量资金，平均每年支出 164,400 美元，占其总 IT 安全预算的 12.9%。然而，60% 的组织最多每年进行两次渗透测试，这代表着对可能没有明显投资回报率的活动进行了大量投资。

安全测试和网络变化的动态

安全测试的频率仍然落后于网络变化的速度，73% 的组织报告称他们的 IT 环境至少每季度发生变化，而只有 40% 的组织报告称他们以相同的频率进行渗透测试。这一差异凸显了安全验证测试中的一个关键差距，使组织容易受到延长的风险时间。

优先考虑安全工作

超过 60% 的组织报告称每周至少有 500 个安全事件需要修复，实现“补丁完美”越来越不现实。在网络安全中，“补丁完美”指的是所有软件安全补丁和更新都及时有效地应用，从而尽量减少网络攻击的机会窗口。因此，安全团队专注于解决最关键的安全漏洞，以预防潜在的黑客攻击。

结论

Pentera 的 2024 年渗透测试状态报告 强调了当今数字世界中网络安全的复杂和动态性质。随着组织应对这些挑战，报告中的见解为安全领导者提供了宝贵的资源，以增强他们的安全验证策略并构建更具韧性的企业。