Di tahun 2025 yang baru dirilis State of Pentesting ReportPentera mensurvei 500 CISO dari Global Enterprises (200 dari dalam AS) untuk memahami strategi, taktik, dan alat yang mereka gunakan untuk mengatasi ribuan peringatan keamanan, pelanggaran yang bertahan dan risiko cyber yang tumbuh yang harus mereka tangani. Temuan ini mengungkapkan gambaran yang rumit tentang kemajuan, tantangan, dan pola pikir yang bergeser tentang bagaimana perusahaan mendekati pengujian keamanan.
Lebih banyak alat, lebih banyak data, lebih banyak perlindungan … tidak ada jaminan
Selama setahun terakhir, 45% perusahaan memperluas tumpukan teknologi keamanan mereka, dengan organisasi sekarang mengelola rata -rata 75 solusi keamanan yang berbeda.
Namun terlepas dari lapisan alat keamanan ini, 67% perusahaan AS mengalami pelanggaran dalam 24 bulan terakhir. Semakin banyak alat yang digunakan memiliki beberapa efek pada operasi harian dan keseluruhan postur tubuh cyber organisasi.
Meskipun tampak jelas, temuan ini menceritakan kisah yang jelas – lebih banyak alat keamanan berarti postur keamanan yang lebih baik. Namun, tidak ada peluru perak. Di antara organisasi dengan kurang dari 50 alat keamanan, 93% melaporkan pelanggaran. Persentase itu terus menurun karena ukuran tumpukan meningkat, turun menjadi 61% di antara mereka yang menggunakan lebih dari 100 alat.
Peringatan kelelahan itu nyata
Sisi flip dari tumpukan keamanan yang lebih besar adalah bahwa CISO dan tim mereka harus bersaing dengan masuknya informasi yang jauh lebih besar. Perusahaan mengelola lebih dari 75 solusi keamanan sekarang menghadapi rata -rata 2.000 peringatan per minggu – Gandakan volume Dibandingkan dengan organisasi dengan tumpukan yang lebih kecil, dan mereka yang memiliki lebih dari 100 alat menerima lebih dari 3000 (3x peringatan).
Ini pada gilirannya, memberikan lebih banyak penekanan pada prioritas yang efektif, jika tidak, ancaman kritis dapat dikubur di lautan peringatan. Dalam lingkungan ini, di mana volume peringatan tinggi dan waktu untuk triase pendek, organisasi mendapat manfaat paling besar ketika mereka sering dapat menguji celah yang dapat dieksploitasi, sehingga mereka tahu masalah mana yang benar -benar penting sebelum aktor ancaman menemukan mereka terlebih dahulu.
Berbasis perangkat lunak PENTESTING MENGUBAH TOLAH
Kepercayaan pada pengujian keamanan berbasis perangkat lunak berkembang pesat. Hanya 5-10 tahun yang lalu, banyak perusahaan tidak akan pernah mengizinkan alat otomatis untuk menjalankan pentest di lingkungan mereka karena takut menyebabkan pemadaman, tetapi sentimen berubah.
Karena CISO terus mengenali keunggulan perangkat lunak dalam penskalaan pengujian permusuhan dan mengimbangi lingkungan TI yang terus berubah, pentesting berbasis perangkat lunak menjadi standar. Lebih dari setengah perusahaan sekarang menggunakan alat-alat ini untuk mendukung pengujian in-house, didorong oleh kepercayaan pada keandalannya dan kebutuhan akan strategi validasi yang dapat diskalakan dan berkelanjutan. Saat ini, 50% dari CISO mengutip solusi pentesting berbasis perangkat lunak sebagai metode utama mereka untuk mengungkap kesenjangan yang dapat dieksploitasi.
Penyedia asuransi menjadi influencer yang tidak terduga
Di luar manajemen internal dan dewan direksi, pasukan baru yang mengejutkan membentuk strategi keamanan: penyedia asuransi cyber. 59% dari CISO mengakui bahwa mereka telah menerapkan setidaknya satu solusi keamanan siber yang sebelumnya tidak mereka pertimbangkan sebagai akibat dari perusahaan asuransi cyber mereka. Ini adalah tanda yang jelas bahwa perusahaan asuransi bukan hanya risiko penetapan harga, mereka secara aktif meresepkan cara menguranginya, dan membentuk kembali prioritas keamanan perusahaan dalam proses tersebut.
Kepercayaan Rendah dalam Dukungan Pemerintah
Sementara lembaga pemerintah seperti CISA (di AS) dan Enisa (di UE) memainkan peran penting dalam visibilitas dan koordinasi ancaman, kepercayaan pada dukungan keamanan siber pemerintah secara mengejutkan rendah.
Hanya 14% dari CISO yang percaya bahwa pemerintah cukup mendukung tantangan cyber sektor swasta, sementara 64% merasa bahwa upaya pemerintah, meskipun diakui, tidak cukup. 22% percaya bahwa mereka tidak dapat bergantung pada pemerintah sama sekali untuk bantuan cybersecurity.
Untuk membandingkan praktik, anggaran, dan prioritas terpendam organisasi Anda terhadap perusahaan global lainnya, Daftar webinar Pada tanggal 27 Mei 2025 di mana analis keamanan senior akan membahas temuan utama. Atau atau Dapatkan laporan Pentesting State of Pentesting 2025 Dan lihat semua wawasan untuk diri Anda sendiri!
Catatan: Artikel ini ditulis dan disumbangkan oleh Jay Mar Tang, Field Ciso di Pentera.
