Изучите эту подробную (и часто удивительную) статистику пентестирования, чтобы узнать, что происходит в отрасли и как это влияет на вашу повседневную деятельность.
Данные об уязвимостях и пентестировании
Постоянно расширяющийся ландшафт угроз продолжает оказывать влияние на компании по всему миру и затрагивать их критически важную инфраструктуру. Например, в 2022 году был зарегистрирован рекордный рост данных CVE — было опубликовано более 25 000. В среднем в день публиковалось 68,75 CVE.
- Согласно той же базе данных, в 2022 году в технологической экосистеме появилось 860 уязвимостей с оценками CVSSv3 9.0 — 10.0. В 2021 году было зарегистрировано 1165 уязвимостей.
- В отчете Cobalt’s State of Pentesting 2022 указаны 5 наиболее часто встречающихся категорий уязвимостей, обнаруженных сообществом пентестеров: Неправильная конфигурация безопасности сервера (38%), Межсайтовый скриптинг (13%), Нарушенный контроль доступа (11%), Раскрытие конфиденциальных данных (10%), Аутентификация и сеансы (8%).
- В 2021 году появилось не менее 66 уязвимостей нулевого дня. Быстрое распространение хакерских инструментов в глобальном масштабе является фактором, способствующим такому темпу роста. (MIT Technology)
- 62% команд безопасности заявили, что в 2022 году они столкнулись с эксплойтами нулевого дня, по сравнению с 51% в 2021 году, что было связано с геополитическими проблемами. (VMWare Global Incident Response Threat Report 2022)
- В среднем командам безопасности требовалось 14 дней для устранения уязвимостей. (Cobalt’s State of Pentesting 2022).
- По данным Statista, более 1 миллиона компаний по всему миру используют пакет Microsoft Office 365. Поэтому неудивительно, что он остается привлекательным вектором атак.
- Другие данные из отчета AppSec Stats Flash показывают, что уровень устранения критических уязвимостей снизился с 54% в 2020 году до 47% в 2021 году.
Чем глубже мы изучаем данные об уязвимостях, тем более очевидной становится важность сканирования уязвимостей и определения приоритетов для компаний.
Статистика оценки уязвимостей
Оценка уязвимостей (ОУ) — это важный процесс для компаний, которые хотят выявить и понять уязвимости до того, как злоумышленники получат возможность их использовать.
Ознакомьтесь с этой статистикой, чтобы узнать, как обстоят дела у других организаций и какие цели ставят перед собой специалисты по кибербезопасности в этой области:
- Каждая пятая организация не тестирует свое программное обеспечение на наличие уязвимостей (отчет Ponemon Report: Application Security in the DevOps Environment)
- 70% организаций имеют инструмент оценки уязвимостей, развернутый внутри организации или предоставленный в качестве сторонней услуги (Аналитическая записка 2022 Vulnerability Assessment)
- 70% респондентов приобрели инструмент оценки уязвимостей для принятия проактивных мер безопасности (Аналитическая записка 2022 Vulnerability Assessment)
- 52% из них хотят перейти на новое решение для оценки, чтобы уменьшить количество ложноположительных предупреждений (2022 Vulnerability Assessment Analytical Note)
Цифры управления уязвимостями
Ошеломляющее количество уязвимостей подчеркивает необходимость эффективной программы управления уязвимостями. Но действительно ли организации уделяют приоритетное внимание этой практике?
Данные отчета 2022 Vulnerability Management Report показывают, что 71% организаций осуществляют формальную программу управления уязвимостями внутри компании, но только 30% из них считают свою программу очень эффективной. Но есть и хорошая новость: 44% организаций ожидают увеличения инвестиций в решения по управлению уязвимостями.
Давайте посмотрим на более полезные данные по управлению уязвимостями, чтобы понять, что происходит, когда теория встречается с практикой.
- Национальный институт стандартов и технологий (NIST) рекомендует проводить сканирование уязвимостей как минимум ежемесячно, а для организаций, которые собирают и/или обрабатывают личные или конфиденциальные данные, — еще чаще.
- 31% ИТ-специалистов проводят сканирование уязвимостей самостоятельно, а еще 33% утверждают, что не проводят регулярного сканирования уязвимостей. (Опрос RapidFireTools)
- 59% организаций не планируют уделять приоритетное внимание управлению уязвимостями в 2022 году (отчет 2022 Endpoint Management and Security Trends Report).
- Тот же опрос SANS показывает, что 18% респондентов автоматически сканируют на наличие уязвимостей или неправильной конфигурации в своих облачных PaaS-средах. 22% из них делают это в облачных SaaS-средах.
- В 2022 году будет раскрыто более 25 00 уязвимостей, и мы наблюдаем стремительный рост угроз. (The Stack)
- Только 33% организаций уделяют приоритетное внимание внедрению Zero Trust и многофакторной аутентификации (MFA) (отчет о тенденциях в области управления конечными точками и безопасности за 2022 год)
- 88% предприятий анализируют риски безопасности самостоятельно, а не используют решение для управления уязвимостями. (Исследование TAC Security Survey)
Эта статистика показывает, что в управлении уязвимостями все еще отсутствует стандартизация приоритетов. Поскольку это сложный процесс со сложными последствиями, компаниям еще предстоит пройти долгий путь.
Статистика автоматизации пентестирования
Когда речь заходит об автоматизированном тестировании на проникновение, полезно получить больше информации о том, как этот процесс может сократить количество утомительных ручных задач — без ущерба для качества. Но человеческий профессионализм невозможно заменить.
Давайте рассмотрим некоторые из наиболее значимых статистических данных по автоматизации тестирования на проникновение:
- 75% компаний проводят тесты на проникновение для оценки уровня безопасности или в целях соответствия нормативным требованиям. 57% из них делают это для поддержки программы управления уязвимостями. (Отчет CoreSecurity 2022 о тестировании на проникновение)
- Большинство специалистов по тестированию на проникновение используют различные инструменты безопасности во время работы, причем 78% используют как бесплатные, так и коммерческие инструменты, а 11% полагаются на бесплатные инструменты с открытым исходным кодом. (CoreSecurity 2022 Penetration Testing Report)
- Что касается наиболее важных функций в платных программных инструментах для пентестирования, 77% компаний заявили, что обязательным условием является наличие отчетов. 67% покупают обширные библиотеки угроз, а 61% заинтересованы в возможности многовекторного тестирования. (Отчет CoreSecurity 2022 Penetration Testing Report)
- Сканирование уязвимостей может выявить более 50 000 уникальных внешних и/или внутренних слабых мест. (SecurityMetrics)
- Серверы, веб-приложения и базы данных — вот три основных направления автоматизированного тестирования на проникновение. (Исследование RidgeSecurity)
- Только 29% организаций автоматизировали 70% и более тестирования безопасности. (Опрос SANS 2021 года)
- 44% включили тесты и обзоры безопасности в рабочие процессы кодирования. (Исследование SANS 2021 года)