Cobalt: 94% компаний считают, что пентестинг необходим, но лишь немногие делают это правильно
Изображение: recraft
Исследование, проведённое специалистами Cobalt, продемонстрировало, что подавляющее большинство компаний считают проверку на проникновение необходимым элементом своей стратегии в сфере кибербезопасности. Вместе с тем практика показывает, что серьёзные проблемы всё ещё остаются без должного внимания — организации исправляют менее половины уязвимостей, которые могут быть использованы злоумышленниками.
Специалисты Cobalt подчёркивают, что особенно слабо обстоят дела с недостатками, обнаруженными в приложениях с применением генеративного искусственного интеллекта. Здесь устраняется лишь 21% найденных уязвимостей. Это создаёт серьёзную брешь в защите, несмотря на то что 94% опрошенных компаний признают важность тестирования на проникновение.
Эксперты компании напоминают, что большинство инцидентов происходят не из-за полного отсутствия защиты, а из-за того, что она работает не так эффективно, как предполагалось. Около 91% участников опроса указали, что основной целью проведения тестов на проникновение для них является выполнение нормативных требований. При этом 92% уверены, что подобные меры важны не только для технических специалистов, но и для топ-менеджмента.
Динамика устранения серьёзных нарушений менялась со временем. Так, в 2017 году компании справлялись только с 27% выявленных проблем. Спустя четыре года этот показатель достиг 55%, после чего рост практически остановился. В 2024 году временные затраты на исправление серьёзных уязвимостей сократились до 37 дней, тогда как в 2017 году на это требовалось 112 дней. Таким образом, период, в течение которого система остаётся уязвимой, уменьшился на 75 суток.
При этом компании с крупным штатом тратят на устранение опасных уязвимостей почти вдвое больше времени, чем небольшие организации. В среднем у крупных игроков на рынке это занимает 61 день, тогда как у небольших фирм – 27 дней.
Около 75% компаний устанавливают внутренние сроки, в течение которых результаты тестов должны быть проанализированы и устранены. На бумаге это не более двух недель, но фактически только немногие укладываются в этот срок. Средний срок устранения, по данным Cobalt, составляет 67 дней, что в пять раз превышает обозначенные цели.
Несмотря на это, 81% представителей служб безопасности считают, что защита их компании находится на надлежащем уровне. Хотя 31% уязвимостей, признанных критически важными, остаются неисправленными, в целом фирмы устраняют примерно 48% всех найденных проблем. При этом для серьёзных уязвимостей этот показатель повышается до 69%.
Cobalt опубликовала полную версию отчёта на сайте.
