Yeni çıkan 2025’te Pentesting Durumu RaporuPentera, binlerce güvenlik uyarısı, devam eden ihlaller ve artan siber risklerle başa çıkmak için kullandıkları stratejileri, taktikleri ve araçları anlamak için Global Enterprises’dan (200 ABD’den 200) 500 ciso araştırdı. Bulgular, ilerleme, zorluklar ve işletmelerin güvenlik testine nasıl yaklaştığına dair değişen bir zihniyetin karmaşık bir resmini ortaya koymaktadır.
Daha fazla araç, daha fazla veri, daha fazla koruma… garanti yok
Geçen yıl, işletmelerin% 45’i güvenlik teknolojisi yığınlarını genişletti ve kuruluşlar şu anda ortalama 75 farklı güvenlik çözümünü yönetti.
Ancak bu güvenlik araçları katmanlarına rağmen, ABD işletmelerinin% 67’si son 24 ay içinde bir ihlal yaşadı. Artan konuşulan araçların sayısının günlük işlem ve kuruluşun genel siber duruşu üzerinde birkaç etkisi vardır.
Açık görünse de, bulgular açık bir hikaye anlatıyor – daha fazla güvenlik aracı daha iyi güvenlik duruşu anlamına geliyor. Ancak, gümüş mermi yoktur. 50’den az güvenlik aracı olan kuruluşlar arasında% 93’ü bir ihlal bildirdi. Yığın boyutu arttıkça bu yüzde istikrarlı bir şekilde azalır ve 100’den fazla araç kullananlarda% 61’e düşer.
Uyarı yorgunluğu gerçek
Daha büyük güvenlik yığınlarının ters tarafı, CISOS ve ekiplerinin çok daha büyük bir bilgi akışı ile mücadele etmeleri gerektiğidir. 75’ten fazla güvenlik çözümünü yöneten işletmeler artık haftada ortalama 2.000 uyarı ile karşı karşıya – hacmi iki katına çıkar Daha küçük yığınları olan kuruluşlarla karşılaştırıldığında ve 100’den fazla aracı olanlar 3000’den fazla (3 kat uyarı) alırlar.
Bu da, etkili önceliklendirmeye çok daha fazla vurgu yapar, aksi takdirde kritik tehditler bir uyarı denizine gömülebilir. Uyarı hacimlerinin yüksek olduğu ve triyaj süresinin kısa olduğu bu ortamda, kuruluşlar genellikle sömürülebilir boşlukları test edebildiklerinde en çok fayda sağlar, bu nedenle tehdit aktörlerinin onları önce bulmadan önce hangi sorunların gerçekten önemli olduğunu biliyorlar.
Yazılım tabanlı Pentesting Kazançlar Zemin
Yazılım tabanlı güvenlik testine güven hızla büyüyor. Sadece 5-10 yıl önce, birçok işletme hiçbir zaman kesintilere neden olma korkusu nedeniyle ortamlarında pentestleri çalıştırmasına izin vermezdi, ancak duygu değişiyor.
CISO’lar, rakip testleri ölçeklendirmede ve sürekli değişen BT ortamlarına ayak uydurmada yazılımın avantajlarını tanımaya devam ettikçe, yazılım tabanlı pentesting standart haline geliyor. İşletmelerin yarısından fazlası artık bu araçları, güvenilirliklerine ve ölçeklenebilir, sürekli doğrulama stratejilerine duyulan ihtiyaçtan kaynaklanan şirket içi testleri desteklemek için kullanıyor. Bugün, CISOS’un% 50’si, sömürülebilir boşlukları ortaya çıkarmak için birincil yöntem olarak yazılım tabanlı pentesting çözümlerini belirtiyor.
Sigorta sağlayıcıları beklenmedik etkileyiciler haline gelir
İç yönetim ve yönetim kurullarının ötesinde, şaşırtıcı yeni bir güç güvenlik stratejisini şekillendiriyor: siber sigorta sağlayıcıları. CISOS’un% 59’u, daha önce siber sigorta şirketlerinin bir sonucu olarak düşünmedikleri en az bir siber güvenlik çözümü uyguladıklarını itiraf etti. Sigortacıların sadece fiyatlandırma riski olmadığına dair açık bir işaret, bunun nasıl azaltılacağını aktif olarak reçete ediyorlar ve süreçteki kurumsal güvenlik önceliklerini yeniden şekillendiriyorlar.
Devlet desteğine düşük güven
CISA (ABD’de) ve ENISA (AB’de) gibi devlet kurumları tehdit görünürlüğü ve koordinasyonunda önemli bir rol oynarken, hükümetin siber güvenlik desteğine olan güven şaşırtıcı derecede düşüktür.
CISOS’un sadece% 14’ünün hükümetin özel sektörün siber zorluklarını yeterince desteklediğine inanırken,% 64’ü hükümet çabalarının kabul edilmesine rağmen yetersiz olduğunu düşünüyor. % 22’si siber güvenlik yardımı için hükümete hiç güvenemeyeceklerine inanıyor.
Kuruluşunuzun diğer küresel işletmelere karşı düzensiz uygulamalarını, bütçelerini ve önceliklerini kıyaslamak için, Web Semineri’ne kaydolun Kıdemli güvenlik analistlerinin temel bulguları tartışacağı 27 Mayıs 2025’te. Alternatif olarak, 2025 Pentesting State Raporunun tamamını alın Ve tüm bilgileri kendiniz görün!
Not: Bu makale Pentera’daki Field Ciso Jay Mar Tang tarafından yazılmış ve katkıda bulunulmuştur.