De afgelopen twee jaar een schokkende gebeurtenis 51% van de organisaties die in een toonaangevend brancherapport zijn ondervraagd, zijn getroffen door een cyberaanval. Ja, ruim de helft.
En dit in een wereld waar ondernemingen actief zijn gemiddeld 53 verschillende beveiligingsoplossingen om hun digitale domein veilig te stellen.
Alarmerend? Absoluut.
Een recent onderzoek onder CISO's en CIO's, in opdracht van Pentera en uitgevoerd door Global Surveyz Research, biedt een kwantificeerbare inkijk in dit evoluerende slagveld en onthult een schril contrast tussen de groeiende risico's en de strengere budgetbeperkingen waaronder cybersecurityprofessionals opereren.
Met dit rapport heeft Pentera opnieuw een vergrootglas genomen naar de stand van zaken op het gebied van pentesting, om haar jaarverslag over de hedendaagse pentestingpraktijken uit te brengen. In samenwerking met 450 beveiligingsmanagers uit Noord-Amerika, LATAM, APAC en EMEA – allemaal in VP- of C-level-posities bij organisaties met meer dan 1.000 werknemers – schetst het rapport een actueel beeld van moderne beveiligingsvalidatiepraktijken in de hele onderneming.
De belangrijkste bevindingen zijn onder meer:
- De impact van een inbreuk is groot:
- 43% meldde ongeplande downtime
- 36% rapporteerde gegevensblootstelling
- 31% meldde financieel verlies
- Naarmate de Raad van Bestuur (BoD's) cyberbewuster wordt, ruim 50% van de CISO's deelt nu hun pentestrapporten met hun BoD's.
- Er is een opmerkelijke kloof tussen het tempo van de veranderingen in IT-omgevingen en de frequentie van beveiligingstestswaardoor de digitale assets van organisaties gedurende langere tijd ongetest blijven.
- Met gemiddeld 500 herstelacties per week, Effectieve prioritering is een van de belangrijkste factoren voor beveiligingsteams.
Beveiligingsinbreuken blijven bestaan ondanks investeringen
Uit het rapport uit 2024 blijkt dat ondernemingen gemiddeld 53 beveiligingsoplossingen hebben, maar toch moeite hebben om de triade Confidentiality, Integrity, Availability (CIA) in stand te houden. Als onderdeel van het beveiligingsbeleid en de beveiligingspraktijken beschermt deze triade informatiesystemen en gegevens tegen verschillende bedreigingen en zorgt ervoor dat informatie veilig, betrouwbaar en toegankelijk is voor de juiste mensen.
Deze realiteit wordt onderstreept door het feit dat 51% van de ondervraagde CISO’s heeft toegegeven dat er de afgelopen twee jaar een inbreuk op de cyberbeveiliging is gepleegd. Dergelijke inbreuken hebben geleid tot aanzienlijke operationele verstoringen, waaronder ongeplande downtime, blootstelling aan gegevens en financiële verliezen. Slechts 7% van de ondernemingen aanzienlijke impact als gevolg van een inbreuk te voorkomen. Deze incidenten tonen aan hoe belangrijk het is om over een sterke cyberbeveiligingsverdediging te beschikken.
Bedrijven kregen te maken met een vrijwel gelijke verdeling van aanvallen over hun IT-infrastructuur; inclusief externe apparaten, lokale en cloudomgevingen, wat wijst op de noodzaak om elk van deze domeinen regelmatig te testen en te beveiligen. Het verhoogde profiel van de cloud als aanvalsdoel komt overeen met andere brancherapporten. Crowdstrike's Global Threat Report voor 2024 rapporteerde een toename van 75% in cloud-inbraken op jaarbasis. Ze voorspelden dat dit cijfer de komende jaren zal stijgen naarmate meer organisaties vooruitgang boeken met hun inspanningen voor cloudmigratie en verschuiven naar overwegend cloud- of cloud-native implementaties.
Grotere betrokkenheid van de directie en het bestuur
In het licht van de spraakmakende inbreuken die de krantenkoppen halen, is er sprake van een opmerkelijke toename van het toezicht op cyberbeveiliging van bovenaf. Meer dan de helft van de CISO's rapporteert nu regelmatig pentestresultaten aan hun raden van bestuur, waarbij het strategische belang van cyberbeveiliging voor de onderneming wordt benadrukt. CISO's gebruiken steeds vaker pentestrapporten als een manier om cyberveiligheidsrisico's beter te communiceren naar hun executive teams en besturen.
Aanvullend, 31% van de CISO's deelt pentestresultaten met klanten, waarbij het belang wordt erkend van transparantie bij het beheersen van risico's voor derden en de toeleveringsketen. Het toepassen van deze praktijk schept niet alleen vertrouwen, maar bevordert ook een cultuur van openheid over uitdagingen en maatregelen op het gebied van cyberbeveiliging.
Het dichten van de pentestingkloof
Het onderzoek wijst op een verontrustende kloof tussen de frequentie van veranderingen in de IT-omgeving en de frequentie van beveiligingstests. Terwijl 73% van de organisaties rapporteert dat ze elk kwartaal IT-wijzigingen doorvoeren, komt slechts 40% overeen met hun pentestinspanningen. Hierdoor staan organisaties gedurende langere perioden bloot aan risico's.
GemiddeldInvesteren bedrijven $164.400 in handmatige pentesting, wat neerkomt op 12,9% van hun jaarlijkse IT-beveiligingsbudget. Omdat 60% van de organisaties maximaal twee keer per jaar een pentest uitvoert, is dit een grote investering en een aanzienlijk deel van het budget voor een beveiligingsactiviteit die slechts een momentopname van de beveiligingsstatus biedt. Gezien het belang van pentests voor het verbeteren van de IT-veerkracht, is het de moeite waard om oplossingen te overwegen die schaalbare, continue pentests bieden.
Patch Perfect is niet realistisch
Naast herstelactiviteiten zijn beveiligingsteams belast met een gevarieerde reeks verantwoordelijkheden die hen tot het uiterste drijven.
Tegen deze achtergrond worden bedrijven overspoeld met beveiligingsgebeurtenissen. Ruim 60% van de bedrijven meldt dat zij wekelijks ten minste 500 incidenten ontvangen die herstel vereisen. patch-perfectie is nog nooit zo ongrijpbaar geweest. Het wordt steeds duidelijker dat de kunst van het stellen van prioriteiten een kunst is die beveiligingsteams moeten leren om de bedrijfsprocessen van hun organisatie goed te beschermen. Beveiligingsteams die in staat zijn om op efficiënte wijze de context van een kwetsbaarheid te begrijpen, de compenserende controles ervan en de gegevens waar deze naar toe leidt, zullen degenen zijn die in het spel blijven.
Wat betekenen deze bevindingen?
De State of Pentesting Survey van 2024, door Pentera, onderstreept een cruciaal moment voor cyberbeveiliging: naarmate bedreigingen zich blijven ontwikkelen, slagen veel beveiligingsoplossingen er niet in deze te beperken, waardoor CISO's de beveiliging van hun infrastructuur consistenter moeten valideren.
De inzichten uit dit onderzoek zijn niet alleen maar statistieken; ze zijn een oproep tot actie voor betere, efficiëntere cyberbeveiligingspraktijken die aansluiten bij de financiële en operationele realiteit van onze tijd.
Ontdek in dit webinar de belangrijkste bevindingen uit de State of Pentesting Survey 2024. Ga met ons mee terwijl we de bevindingen onderzoeken, strategieën bespreken om cyberbeveiliging te beheren, taken prioriteren en leren hoe u uw beveiligingshouding effectiever aan het leiderschap kunt communiceren.
Download de 2024 State of Pentesting-enquête of Registreer hier om het livewebinar bij te wonen.
