A vállalkozások fenyegetéskezelésére hatással vannak a globális trendek, a gazdasági lassulástól kezdve a kiberkockázatokkal kapcsolatos növekvő tudatosságig.

Hogyan befolyásolják a globális változások a biztonsági validációt és pentesztelést?

Ezt a kérdést igyekszik megválaszolni a Global Surveyz Research által készített, az Egyesült Államok, az Egyesült Királyság és Nyugat-Európa 300, legalább C-szintű pozícióban lévő, több mint 1000 alkalmazottat foglalkoztató vállalatánál dolgozó vezető visszajelzésén alapuló jelentés, amely átfogó képet fest a pentesztelés mai helyzetéről.

A legfontosabb megállapítások:

• A szervezetek még mindig nagy arányban tapasztalnak jogsértéseket.
• A pentesztelés már nem csak a jogszabályi megfelelésről szól.
• Az etikus hackercsapatot (Red Team) foglalkoztató vállalatok aránya egyre növekszik.

A gazdasági lassulás ellenére, amelyet a világjárvány, a globális ellátási hiány és az Ukrajnában zajló konfliktus okozott, a vállalatok nem lehetnek elégedettek a kiberbiztonsággal. A Check Point Research friss jelentése szerint a kibertámadás száma 2022-ben 38%-kal nőtt az előző évhez képest, és szervezetenként átlagosan heti 1168 támadást regisztráltak.

Az elmúlt két évben a szervezetek megdöbbentő 88%-a számolt be arról, hogy valamilyen kiberincidens történt náluk, és ez a tendencia továbbra sem mutatja a lassulás jeleit. Mivel a költségvetéseket mindenhol csökkentik, létfontosságú, hogy a kiberbiztonság továbbra is kiemelt prioritás maradjon.

A bizonytalanság ellenére a szervezetek 92%-a növeli IT-biztonsági költségvetését, 86%-a pedig a penetrációs tesztelési költségvetését. A kutatásban résztvevő vállalatok körülbelül egyharmada tervezi, hogy ezeket a költségvetéseket több mint 10%-kal növeli.

Úgy tűnik, hogy a biztonság kérdését komolyan veszik és elismerik azt az értéket, amelyet a CISO-k és a biztonsági szakértők nyújtanak.

A pentesting változó tájképe

Nem is olyan régen, ha megkérdeztünk egy biztonsági vezetőt, hogy mi volt a legfőbb oka a penetrációs tesztek elvégzésének, azt mondták, hogy a szabályozási megfelelés. Mára azonban a jogszabályok által vezérelt gyakorlatok helyett a biztonság által vezérelt gyakorlatok kerültek előtérbe. A biztonsági vezetők szerint a pentesting legfontosabb motivációi a következők:

• A biztonsági ellenőrzés és validáció szükségessége
• A kiberbiztosítási követelmények teljesítése
• Egy támadás potenciális kárának felmérése

A penetrációs tesztelést motiváló okoknak ilyen irányú változása egyértelműen jelzi a kiberbiztonsági ágazaton belüli növekvő érettséget és a támadói szempontok megértését. A biztonsági vezetők ma már beépítik a stratégiájukba a pentestinget.

A biztonsági vezetők sokféle kockázattal számolnak, de az egyik, ami miatt különösen aggódnak, az üzletmenet folytonosságának megszakadása.

A szoftverek és alkalmazások folyamatos frissítései mellett a pentesztelésre is gyakran kell sort keríteni a teljes biztonság érdekében.

Mégis, a válaszadók 45%-át riasztja az üzleti alkalmazások vagy a hálózat leállása a pentesztelés során. Ez megakadályozza őket abban, hogy növeljék a penetrációs tesztelések gyakoriságát. A pentesztelési gyakoriság növelésének másik akadálya a kézi pentesztelők hiánya.

A szervezetek többet szeretnének tesztelni, de nincsenek meg hozzá a szükséges eszközök.

Ezért fontos az automatizálás, amely végtelen számú forgatókönyv tesztelését teszi lehetővé anélkül, hogy a hálózatot veszélyeztetné.

Az automatikus pentesztelés előnyei

A pentesztelés iránti növekvő igény ellenére egyes szervezetek még mindig küzdenek a munka elvégzésével. A felmérés szerint a szervezeteknek mindössze 15%-a végez automatizált pentesztelést, miközben 39% manuális teszteket futtat, 42% pedig harmadik féltől származó szolgáltatást vesz igénybe. 18% egyáltalán nem futtat penteszteket.

A penetrációs tesztelés automatizálása segíthet áthidalni ezeket a hiányosságokat. Az automatizálás lehetővé teszi a folyamatos és hatékony tesztelést, mivel nem támaszkodik a kézi tesztelőkre, és gyorsan lefut, elkerülve az üzleti folyamatok megszakadását.

Jó hír, hogy 2023 végére várhatóan a biztonsági vezetők majdnem mindegyike rendelkezik majd házon belüli vörös csapattal. 67%-uk már most is rendelkezik ilyennel, 29%-uk pedig tervezi ezt. Ezek a csapatok segíthetnek a pentesting hatókörének és sebességének növelésében is.

A mélységi védekezés (Defense-in-Depth) problémái

A kiberbiztonság terén még mindig a mélységi védekezés a legelterjedtebb stratégia. A szervezetek 92%-a alkalmazza ezt a megközelítést.

A kibertámadások gyakorisága mégis azt mutatja, hogy ez a stratégia, illetve annak megvalósítási módja nem hatékony. Penteszteket például a legtöbb szervezet legjobb esetben is csak negyedévente egyszer végez. A szervezetek fele pedig évente csak egyszer vagy kétszer.

Ez azt jelenti, hogy a legtöbb szervezet nem teszteli eléggé a védelmét ahhoz, hogy megtudja, hogy a biztonsági stratégiája hatékony-e.

Forrás

The State of Pentesting 2023: Global Trends in Cybersecurity

Kapcsolódó tartalom

Pentera képzések a RelNet eLearning programban

A vállalkozások fenyegetéskezelésére hatással vannak a globális trendek, a gazdasági lassulástól kezdve a kiberkockázatokkal kapcsolatos növekvő tudatosságig.

Hogyan befolyásolják a globális változások a biztonsági validációt és pentesztelést?

Ezt a kérdést igyekszik megválaszolni a Global Surveyz Research által készített, az Egyesült Államok, az Egyesült Királyság és Nyugat-Európa 300, legalább C-szintű pozícióban lévő, több mint 1000 alkalmazottat foglalkoztató vállalatánál dolgozó vezető visszajelzésén alapuló jelentés, amely átfogó képet fest a pentesztelés mai helyzetéről.

A legfontosabb megállapítások:

• A szervezetek még mindig nagy arányban tapasztalnak jogsértéseket.

• A pentesztelés már nem csak a jogszabályi megfelelésről szól.

• Az etikus hackercsapatot (Red Team) foglalkoztató vállalatok aránya egyre növekszik.

A gazdasági lassulás ellenére, amelyet a világjárvány, a globális ellátási hiány és az Ukrajnában zajló konfliktus okozott, a vállalatok nem lehetnek elégedettek a kiberbiztonsággal. A Check Point Research friss jelentése szerint a kibertámadás száma 2022-ben 38%-kal nőtt az előző évhez képest, és szervezetenként átlagosan heti 1168 támadást regisztráltak.

Az elmúlt két évben a szervezetek megdöbbentő 88%-a számolt be arról, hogy valamilyen kiberincidens történt náluk, és ez a tendencia továbbra sem mutatja a lassulás jeleit. Mivel a költségvetéseket mindenhol csökkentik, létfontosságú, hogy a kiberbiztonság továbbra is kiemelt prioritás maradjon.

A bizonytalanság ellenére a szervezetek 92%-a növeli IT-biztonsági költségvetését, 86%-a pedig a penetrációs tesztelési költségvetését. A kutatásban résztvevő vállalatok körülbelül egyharmada tervezi, hogy ezeket a költségvetéseket több mint 10%-kal növeli.

Úgy tűnik, hogy a biztonság kérdését komolyan veszik és elismerik azt az értéket, amelyet a CISO-k és a biztonsági szakértők nyújtanak.

A pentesting változó tájképe

Nem is olyan régen, ha megkérdeztünk egy biztonsági vezetőt, hogy mi volt a legfőbb oka a penetrációs tesztek elvégzésének, azt mondták, hogy a szabályozási megfelelés. Mára azonban a jogszabályok által vezérelt gyakorlatok helyett a biztonság által vezérelt gyakorlatok kerültek előtérbe. A biztonsági vezetők szerint a pentesting legfontosabb motivációi a következők:

• A biztonsági ellenőrzés és validáció szükségessége

• A kiberbiztosítási követelmények teljesítése

• Egy támadás potenciális kárának felmérése

A penetrációs tesztelést motiváló okoknak ilyen irányú változása egyértelműen jelzi a kiberbiztonsági ágazaton belüli növekvő érettséget és a támadói szempontok megértését. A biztonsági vezetők ma már beépítik a stratégiájukba a pentestinget.

A biztonsági vezetők sokféle kockázattal számolnak, de az egyik, ami miatt különösen aggódnak, az üzletmenet folytonosságának megszakadása.

A szoftverek és alkalmazások folyamatos frissítései mellett a pentesztelésre is gyakran kell sort keríteni a teljes biztonság érdekében.

Mégis, a válaszadók 45%-át riasztja az üzleti alkalmazások vagy a hálózat leállása a pentesztelés során. Ez megakadályozza őket abban, hogy növeljék a penetrációs tesztelések gyakoriságát. A pentesztelési gyakoriság növelésének másik akadálya a kézi pentesztelők hiánya.

A szervezetek többet szeretnének tesztelni, de nincsenek meg hozzá a szükséges eszközök.

Ezért fontos az automatizálás, amely végtelen számú forgatókönyv tesztelését teszi lehetővé anélkül, hogy a hálózatot veszélyeztetné.

Az automatikus pentesztelés előnyei

A pentesztelés iránti növekvő igény ellenére egyes szervezetek még mindig küzdenek a munka elvégzésével. A felmérés szerint a szervezeteknek mindössze 15%-a végez automatizált pentesztelést, miközben 39% manuális teszteket futtat, 42% pedig harmadik féltől származó szolgáltatást vesz igénybe. 18% egyáltalán nem futtat penteszteket.

A penetrációs tesztelés automatizálása segíthet áthidalni ezeket a hiányosságokat. Az automatizálás lehetővé teszi a folyamatos és hatékony tesztelést, mivel nem támaszkodik a kézi tesztelőkre, és gyorsan lefut, elkerülve az üzleti folyamatok megszakadását.

Jó hír, hogy 2023 végére várhatóan a biztonsági vezetők majdnem mindegyike rendelkezik majd házon belüli vörös csapattal. 67%-uk már most is rendelkezik ilyennel, 29%-uk pedig tervezi ezt. Ezek a csapatok segíthetnek a pentesting hatókörének és sebességének növelésében is.

A mélységi védekezés (Defense-in-Depth) problémái

A kiberbiztonság terén még mindig a mélységi védekezés a legelterjedtebb stratégia. A szervezetek 92%-a alkalmazza ezt a megközelítést.

A kibertámadások gyakorisága mégis azt mutatja, hogy ez a stratégia, illetve annak megvalósítási módja nem hatékony. Penteszteket például a legtöbb szervezet legjobb esetben is csak negyedévente egyszer végez. A szervezetek fele pedig évente csak egyszer vagy kétszer.

Ez azt jelenti, hogy a legtöbb szervezet nem teszteli eléggé a védelmét ahhoz, hogy megtudja, hogy a biztonsági stratégiája hatékony-e.

Forrás

The State of Pentesting 2023: Global Trends in Cybersecurity

Kapcsolódó tartalom

Pentera képzések a RelNet eLearning programban
justify
no-repeat;left top;;
auto

asv automatizált biztonsági validáció biztonsági validáció Penetrációs teszt pentera pentest pentesting

Login

A Pentesting helyzete 2023-ban: A kiberbiztonság globális trendjei

Indíthat-e önhatalmúlag kibertámadást az MI?

A Skybox Security szerepel a Forrester Wave legújabb Vulnerability Risk Management kimutatásában

A Pentesting helyzete 2023-ban: A kiberbiztonság globális trendjei

A pentesting változó tájképe

Az automatikus pentesztelés előnyei

A mélységi védekezés (Defense-in-Depth) problémái

Forrás

Kapcsolódó tartalom

A pentesting változó tájképe

Az automatikus pentesztelés előnyei

A mélységi védekezés (Defense-in-Depth) problémái

Forrás

Kapcsolódó tartalom

Related posts

Hogyan lehet csökkenteni a kitettséget az OT infrastruktúrák támadási felületein?

A Pentera penteszt megoldása immár elérhető az MSP-k számára is