In de nieuw uitgebrachte 2025 Staat van Pentesting ReportOnderzocht Pentera 500 CISO’s van Global Enterprises (200 vanuit de VS) om de strategieën, tactieken en tools die ze gebruiken om de duizenden beveiligingswaarschuwingen, de aanhoudende inbreuken en de groeiende cyberrisico’s die ze moeten verwerken, het hoofd te bieden. De bevindingen onthullen een complex beeld van vooruitgang, uitdagingen en een veranderende mindset over hoe ondernemingen beveiligingstests benaderen.
Meer tools, meer gegevens, meer bescherming … geen garanties
In het afgelopen jaar breidde 45% van de ondernemingen hun beveiligingstechnologie -stapels uit, waarbij organisaties nu gemiddeld 75 verschillende beveiligingsoplossingen beheren.
Ondanks deze lagen van beveiligingshulpmiddelen ervoer 67% van de Amerikaanse ondernemingen de afgelopen 24 maanden een inbreuk. Het groeiende aantal geïmplementeerde tools heeft een paar effecten op de dagelijkse operatie en de algehele cyberhouding van de organisatie.
Hoewel het voor de hand liggend lijkt, vertellen de bevindingen een duidelijk verhaal – meer beveiligingstools betekenen een betere beveiligingshouding. Er is echter geen zilveren kogel. Onder organisaties met minder dan 50 beveiligingstools meldde 93% een inbreuk. Dat percentage daalt gestaag naarmate de stapelgrootte toeneemt en daalt tot 61% bij degenen die meer dan 100 tools gebruiken.
Alert vermoeidheid is echt
De keerzijde van grotere beveiligingsstapels is dat CISO’s en hun teams moeten strijden met een veel grotere instroom van informatie. Ondernemingen die meer dan 75 beveiligingsoplossingen beheren, worden nu gemiddeld 2.000 meldingen per week geconfronteerd – het dubbele volume Vergeleken met organisaties met kleinere stacks en die met meer dan 100 tools ontvangen meer dan 3000 (3x de waarschuwingen).
Dit legt op zijn beurt veel meer nadruk op effectieve prioritering, anders kunnen kritieke bedreigingen begraven worden in een zee van waarschuwingen. In deze omgeving, waar alertvolumes hoog zijn en de tijd tot triage kort is, profiteren organisaties het meest profiteren wanneer ze vaak kunnen testen op exploiteerbare hiaten, zodat ze weten welke problemen echt belangrijk zijn voordat dreigingsacteurs ze eerst vinden.
Software-gebaseerd Pentesting wint terrein
Het vertrouwen in software-gebaseerde beveiligingstests groeit snel. Slechts 5-10 jaar geleden zouden veel ondernemingen nooit geautomatiseerde tools hebben toegestaan om Pentests in hun omgeving uit te voeren uit angst om uitval te veroorzaken, maar het sentiment verandert.
Terwijl CISO’s de voordelen van software blijven herkennen bij het schalen van tegenstanders en gelijke tred houden met constant veranderende IT-omgevingen, wordt software-gebaseerde pentesting de standaard. Meer dan de helft van de ondernemingen gebruikt nu deze tools om interne tests te ondersteunen, gedreven door vertrouwen in hun betrouwbaarheid en de noodzaak van schaalbare, continue validatiestrategieën. Tegenwoordig noemt 50% van de ciso’s software-gebaseerde pentesting-oplossingen als hun primaire methode voor het blootleggen van exploiteerbare hiaten.
Verzekeringsproviders worden onverwachte beïnvloeders
Naast intern management en bestuur van bestuurders, is een verrassende nieuwe kracht de beveiligingsstrategie vormgeven: cyberverzekeringsproviders. 59% van de CISO’s gaf toe dat ze ten minste één cybersecurity -oplossing hebben geïmplementeerd die ze niet eerder hadden overwogen als gevolg van hun cyberverzekeraars. Het is een duidelijk teken dat verzekeraars niet alleen het risico prijzen, ze schrijven actief voor hoe ze het kunnen verminderen en het hervormen van de beveiligingsprioriteiten van bedrijfsresultaten in het proces.
Laag vertrouwen in overheidssteun
Terwijl overheidsinstanties zoals CISA (in de VS) en Enisa (in de EU) een belangrijke rol spelen in de zichtbaarheid en coördinatie van dreigingen, is vertrouwen in cybersecurity -steun van de overheid verrassend laag.
Slechts 14% van de CISO’s gelooft dat de overheid de cyberuitdagingen van de particuliere sector adequaat ondersteunt, terwijl 64% van mening is dat de inspanningen van de overheid, hoewel erkend, onvoldoende zijn. 22% gelooft dat ze helemaal niet op de regering kunnen vertrouwen voor cybersecurity -hulp.
Om de pentestingpraktijken, budgetten en prioriteiten van uw organisatie te benchmarken tegen andere wereldwijde ondernemingen, Registreer je voor het webinar op 27 mei 2025 waar senior beveiligingsanalisten de belangrijkste bevindingen zullen bespreken. Alternatief, Ontvang het volledige rapport van 2025 State of Pentesting En zie alle inzichten voor jezelf!
Opmerking: Dit artikel is geschreven en bijgedragen door Jay Mar Tang, Field Ciso op Pentera.
