Pentesting Raporunun Durumu 2025 Siber güvenlik söz konusu olduğunda kuruluşların gerçekten nasıl yapıldığına dair perdeyi geri çeker. Rapor, özellikle güvenlik açığı yönetimi, AI riskleri ve pentest için programatik yaklaşımlara yönelik artan ihtiyaca, algı ve gerçeklik arasındaki boşluğa samimi bir bakış sunuyor.
Pentesting Raporunun 2025 durumu, bir çelişki ile başlar. Kuruluşların% 81’i siber güvenlik duruşlarını güçlü olarak değerlendiriyor. Yine de, gerçek dünya pentesting farklı bir hikaye anlatıyor-testler sırasında ortaya çıkan tüm güvenlik açıklarının yarısından (%48) hiç çözüldü. Bu güvenlik açıkları yüksek riskli olarak kabul edilse bile, sadece% 69’u ele alınır ve kurumsal savunmalarda birkaç boşluk bırakır.
Dahası, şirketlerin dörtte üçü, güvenlik açıklarının 14 gün içinde çözülmesini zorunlu kılan hizmet düzeyinde anlaşmaların (SLAS) yerinde olduğunu iddia ederken, tüm pent en pents bulgularını çözmek için ortalama süre 67 gün-hedefin neredeyse beş katı. Bu sorun sadece teorik değil; Bunlar, saldırganlar tarafından kullanılabilecek eyleme geçirilebilir güvenlik açıklarıdır ve çözünürlükteki gecikme, sistemleri açığa çıkarır.
AI benimseme artıyor – ancak güvenlik devam etmek için mücadele ediyor
Bu yılın Pentest Raporunda belirtilen en acil sorunlardan biri, güvenlik gözetiminde orantılı bir artış olmadan üretken AI’nın ürünlere ve iş akışlarına hızlı entegrasyonudur. Şirketlerin% 98’i Genai teknolojilerini dahil ederken, sadece% 66’sı Pentesting de dahil olmak üzere güvenliklerini aktif olarak değerlendiriyor.
Bu gözetim özellikle rahatsız edicidir, çünkü büyük dil modelleri (LLM’ler) test edilen tüm varlık türlerinde en yüksek ciddi güvenlik açıklarını göstermiştir. Aslında, LLM ile ilgili en pentest bulgularının% 32’si yüksek riskli olarak etiketlendi-ortalama% 13 oranının iki katından fazla. Daha da endişe verici olan, bu ciddi LLM güvenlik açıklarının sadece% 21’inin artan AI güvenlik boşluğunu yansıtarak iyileştirilmesidir.
Raporda, “AI bunu güvence altına alma yeteneğimizden daha hızlı hareket ediyor” diyor, şu anda Genai tehditlerini üçüncü taraf yazılımlarından, içeriden gelen tehditlerden ve hatta ulus devlet aktörlerinden daha acil olarak gören siber güvenlik profesyonellerinin% 72’sinin yansıttığı bir endişeyi özetliyor.
Programlı Pentesting’e doğru uzun bir yol
Pentesting’in öneminin yaygın olarak kabul edilmesine rağmen-firmaların% 94’ü siber güvenlik stratejileri için gerekli görüyor-veriler sürekli bir takip eksikliği ortaya koymaktadır. Raporda, geçici testler uyum kontrollerini karşılayabilse de, sürekli risk azaltma sürüşü altında kaldığını vurgulamaktadır.
2017 yılında, ciddi en az bulguların sadece% 27’si çözüldü. Bu sayı sonunda%55’e iki katına çıktı, ancak o zamandan beri ilerleme durdu. Aynı ciddi güvenlik açıklarının yüzdesi 2024’te sabitlendi, bu da etkinlikte bir plato olduğunu düşündürmektedir. Teşvik edici bir şekilde, bu sorunları çözmek için gereken süre iyileşti-2017’de 112 günden 2024’te sadece 37 güne düştü, 75 günlük bir azalma. Ancak, hızdaki bu iyileşme daha yüksek çözünürlük oranlarına dönüşmemiştir.
Bazı kuruluşlar suçlamaya liderlik ediyor. Cobalt tarafından Pentesting Raporu 2025, şirketlerin% 57’sinin ciddi bulgularının en az% 90’ını çözdüğünü,% 15’inin% 10 veya daha azını çözdüğünü buldu. Açık paket mi? Yapılandırılmış, programlı pentest stratejileri sporadik çabalardan çok daha etkilidir.
Boyut Önemlidir: Neden Daha Büyük Siber Güvenlikte Her Zaman Daha İyi Değildir?
En pentin raporundan bir başka fikir, örgütsel boyutun güvenlik açığı yönetimi üzerindeki etkisidir. Küçük işletmeler, büyük işletmeler için sadece% 60’a kıyasla ciddi bulguların% 81’ini çözerek daha büyük meslektaşlarından daha iyi performans gösterdi. Dahası, büyük şirketler ciddi sorunları çözmek için iki kat daha uzun – 27 güne – 27 güne kadar sürer.
Bunun nedeni karmaşıklık, gerilmiş kaynaklar ve çapraz fonksiyonel yanlış hizalama olabilir. Kuruluşlar büyüdükçe, ölçeklenebilir, entegre güvenlik uygulamalarına duyulan ihtiyacı vurgulayarak riski yönetme zorluğu da öyle.
Sektör mücadeleleri ve altyapı riskleri
Rapor ayrıca, güvenlik açığı çözünürlüğünde geride kalan kamu hizmetleri, sağlık ve üretim gibi kritik sektörlere ışık tutuyor. Bu endüstriler, yavaş tepki süreleri ve çok sayıda çözülmemiş bulgu nedeniyle daha fazla maruz kalma ile karşı karşıya.
Finansal hizmetler firmaları, daha az ciddi güvenlik açıklarıyla karşılaşırken (%11), hala iyileştirme zaman çizelgeleriyle mücadele ediyor ve sorunları çözmek için ortalama 61 gün sürüyor. Bu eğilim, olgun güvenlik ortamlarının bile iyileştirme boşluğuna karşı bağışık olmadığını vurgulamaktadır.
Güven Boşluğunu Köprüleme
Nihayetinde, Pentesting Raporu 2025’in durumu bir mesajı netleştiriyor: Pentesting sadece kontrol edilecek bir kutu değil, stratejik, sürekli uygulama gerektiren hayati bir araç. Birçok kuruluşun siber güvenlik savunmalarına sahip olduğu güven, verilerde ortaya çıkan sonuçlarla uyumlu değildir. Daha fazla şirket programlı yaklaşımları benimseyene kadar, bu boşluklar devam edecek.
AI ve dijital dönüşümü benimsemek için yarışan kuruluşlar için, sistemleri proaktif olarak güvence altına alma ihtiyacı her zamankinden daha acildir. Pentesting, gizli risklere kritik bir lens sunar – ancak sadece içgörüler üzerinde hareket edilirse. Siber güvenlik liderleri, sadece algılanan korumayı değil, gerçek riski azaltmayı sağlamak için tespit ve çözüm arasındaki boşluğu kapatmalıdır.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.