Cobalt, пионер Pentest как услуги (PtaaS) и ведущий поставщик наступательных решений для обеспечения безопасности, сегодня обнародовала свой шестой ежегодный отчет о состоянии пентестинга. В дополнение к глубокому погружению в тенденции пентестирования, отчет этого года раскрывает отрасль, которая серьезно сталкивается с тем, как использовать искусственный интеллект и защищаться от него в условиях значительных ресурсных и кадровых ограничений.

State-of-Pentesting-Report-2024_Cobalt Скачать

Пентестирование играет ключевую роль в решении этой проблемы, предоставляя организациям возможность чаще тестировать критически важные активы, расширенные среды и расширяющиеся облачные приложения. В рамках отчета Cobalt проанализировал 4068 пентестов, выявив увеличение количества результатов на одно участие в пентестировании на 21% по сравнению с предыдущим годом (из отчета Cobalt о состоянии пентестирования за 2022 год), что соответствует увеличению записей об общих уязвимостях и подверженности (CVE). Кроме того, результаты показали, что среднее время устранения уязвимостей также увеличилось по сравнению с предыдущими годами.

В дополнение к анализу пентестирования, отчет также включает опрос более 900 специалистов по кибербезопасности в США и Великобритании. В исследовании рассказывается о том, как киберпрофессионалы балансируют внутреннее укомплектование персоналом и работу с внешними партнерами, об эффективности искусственного интеллекта как инструмента и угрозы, а также о проблемах, с которыми сталкивается C-suite, чтобы руководить изменениями. Некоторые из наиболее важных выводов включают:

Проблемы в эпицентре бури искусственного интеллекта: в исследовании подчеркиваются двухтактные отношения команд кибербезопасности с ИИ. Огромное большинство (86%) отмечают, что их команды внедрили инструменты на базе искусственного интеллекта, в то время как, с другой стороны, семь из десяти респондентов также указывают на рост угроз, исходящих от искусственного интеллекта. Это соответствует росту, который Cobalt наблюдает в своем бизнесе. В течение 2023 года Cobalt проводила все большее количество пентестов систем искусственного интеллекта, в первую очередь программных продуктов, включающих чат-ботов с поддержкой искусственного интеллекта для улучшения взаимодействия с пользователями. Наиболее распространенные обнаруженные уязвимости включали оперативное внедрение (включая джейлбрейк), модель отказа в обслуживании и оперативную утечку (раскрытие конфиденциальной информации). Несмотря на увеличение инвестиций, многие команды (59%) обеспокоены тем, что они по-прежнему отстают от угрозы искусственного интеллекта.
Короткие кадровые перестановки Из разряда тревожных в разряд значительных рисков: отчет отражает реальность значительных увольнений в отрасли и неопределенности, которые преследовали 2023 год, а также эффект “похмелья”, который увольнения продолжают оказывать на уровни угроз. Тридцать один процент респондентов заявили, что в их организации проводились увольнения в течение последних шести месяцев, и ⅓ из них согласны с тем, что их организация сталкивается с большим киберриском из-за этих увольнений. Больше всего беспокоит то, что нет никаких признаков значительного восстановления кадрового потенциала. Почти треть респондентов сообщили о замораживании найма, а 29% ожидают еще большего числа увольнений в этом году. Анализируя данные, Cobalt отмечает увеличение общего объема данных о высокой и критической серьезности на 39% в годовом исчислении. Это заставляет многие компании задуматься о том, как они будут использовать партнерские отношения и поставщиков для улучшения мер безопасности, при этом 59% согласились с тем, что они увеличат количество пентестингов в 2024 году.
Давление со стороны C-Suite: по мере роста атак руководители C-suite все чаще оказываются на вершине пищевой цепочки подотчетности. Очевидно, что респонденты ощущают это давление; C-suite на 31% чаще, чем не C-suite, говорят, что отраслевая среда влияет на их психическое здоровье, и на 51% чаще говорят, что это влияет на их физическое здоровье. Как и их сотрудники, они указывают на проблемы, связанные с нехваткой талантов и бюджетными ограничениями, а также с растущими и появляющимися угрозами. Среди всех опрошенных групп они больше всего обеспокоены внедрением искусственного интеллекта (на 33% больше, чем респонденты, не относящиеся к C-suite). Несмотря на эти проблемы, доказано, что лидерство C-suite имеет решающее значение для кибербезопасности, при этом 23% отметили, что лидерство C-suite важнее бюджета для предотвращения атак.

“В условиях, когда команды по кибербезопасности испытывают нехватку персонала и растут опасения по поводу потенциала искусственного интеллекта для усиления кибератак, важность пентестирования как упреждающей меры является ключевой”, – сказала Кэролайн Вонг, директор по стратегии Cobalt. “Наши данные подкрепляют действия, которые нам как отрасли необходимо предпринять: уделять приоритетное внимание привлечению талантов, проявлять осторожность при интеграции искусственного интеллекта для защиты от возникающих угроз и использовать пентестирование “.

“Предприятия сегодня сталкиваются не только с цифровыми угрозами, но и с личными потерями, которые эти вызовы наносят их руководителям”, – сказал Крис Мэнтон-Джонс, генеральный директор Cobalt.” Нам, лидерам, важно понимать, что кибербезопасность – это не только защита наших цифровых активов, но и обеспечение безопасности всей нашей организации, включая нас самих. Именно здесь Cobalt может помочь изменить ситуацию. Мы устраняем пробелы с помощью опыта в области безопасности и обеспечиваем масштабируемое наступательное тестирование безопасности по всей поверхности атаки. Это добавляет в вашу команду сообщество надежных экспертов по безопасности и выводит вашу программу безопасности на новый уровень “.