Pentera 是一家自動化滲透測試平台提供商。該公司成立於 2017 年，總部位於以色列特拉維夫。Pentera 的平台利用人工智能來模擬攻擊者攻擊，以幫助組織識別其安全態勢中的漏洞。Pentera 的客戶包括財富 500 強企業、政府機構和中小型企業。最近由Pentera 委託 Global Surveyz Research 進行的一項針對CISO 和 CIO 的調查提供了對這個不斷變化的戰場並揭示了網絡安全專業人員運營中日益增長的風險與收緊的預算限制之間的鮮明對比，透過這份報告將放大鏡帶到了滲透測試的狀態，發布了有關當今滲透測試實踐的年度報告。

 

主要因素包括 

• 43% 的人報告計畫外停機

• 36% 報告資料外洩

• 31% 報告財務損失

• 隨著董事會(BoD) 的網路意識越來越強，超過50%的 CISO 董事 或分享他們的滲透測試結果報告

• IT環境的變化速度和安全測試頻率之間存在顯著差距，導致組織的數位資產在很長一段時間未經測試

• 平均每週有500個修復事件，有效的優先劃分是安全團隊最重要的因素之一

 

 

儘管進行了投資，安全漏洞仍然存在

2024年報告顯示，企業平均擁有53個安全解決方案，但他們正在努力維持機密性、完整性、可用性(CIA) 三要素，作為安全策略和實踐的一部分，這三元組保護資訊系統和資料免受各種威脅，確保資訊安全、可靠性並可供適當的人員存取。

51%受訪CISO者 承認過去兩年發生過網路安全漏洞，這一事實凸顯了 此現實面，此類違規行為導致了嚴重的營運中斷， 包括計畫外停機、資料外洩和財物損失，只有7%的企業避免了違規造成的重大影響。就以此證明 擁有強大的網路安全防禦重要性 

 

 

企業的IT基礎架構中遭受的攻擊分布幾乎均等，包括遠端設備、本地雲端環境，這表明需要定期測試和保護每個網域，雲端作為目標的重要性與其他產業報告一致，Crowdstrike 的2024全球威脅報告顯示，雲端入侵年增了75%，他們預計在未來幾年中，隨著越來越多的組織在雲端遷移工作上取得進展並轉向以雲端或雲端原生部署為主，這一數字將會增加。

 

縮小滲透測試差距

 

此調查凸顯了IT環境變化頻率與安全測試的節奏之間令人不安的差距，雖然73%的組織表示每季都會進行IT變更，但只有40%的組織與他們的滲透測試工作相符這使得組織很長一段時間內面臨風險。

企業平均花費 164,400 美元進行手動滲透測試，佔其年度IT安全預算的12.9%。

六成以上的組織每年最多進行兩次滲透測試，對於僅提供安全態勢快照評估的安全活動來說，是一項鉅大的投資，也佔公司預算的一大部分，在台灣也有依照等級機構每年應進行幾次資安檢測，像次滲透測試或是脆弱性掃描。

Pentera 2024年滲透測試狀況調查，強調了網路安全的關鍵時刻，隨著威脅不斷發展許多安全解決方案無法緩解威脅，要求CISO更一致的驗證其基礎設施的安全性。

 

相關建議

• 定期進行滲透測試以識別和修復漏洞

• 此用漏洞管理解決方案來跟蹤和修復已知漏洞

• 建立安全意識培訓計畫，以提高員工對社會工程和其他安全威脅的認識

• 實施分層安全控制，以阻止攻擊者進入網路

• 制裁相關響應計畫以減輕安全事件的影響

 

參考資料:

https://thehackernews.com/2024/04/penteras-2024-report-reveals-hundreds.html

https://gemini.google.com/app/94a2e45fc4f9921a