【国际视野】Pentera发布《2024年渗透测试现状》调查报告

随着IT环境的复杂性不断增加，企业正在整合更多的网络安全解决方案来管理风险。

我们的报告发现，企业平均已在其组织内使用了53 种安全解决方案。只有12% 的企业报告其使用的安全解决方案少于20 个，而21% 的企业报告其网络堆栈中使用的解决方案超过76 个。

虽然在安全架构中进行安全分层和建立一定程度的重叠是有好处的，但如此大量的解决方案所产生的噪音实际上会抑制企业检测和应对安全威胁的能力。

尽管对安全基础设施进行了大量投资，但51% 的受访组织表示，在过去24 个月中，他们的组织受到了网络攻击。在过去的24 个月中。

在报告受到攻击的首席信息安全官中，93%的人表示其 IT环境的保密性、完整性和/或可用性受到了影响，只有7% 的人表示没有受到重大影响。

近三分之一的首席信息安全官报告了财务损失，类似比例（略高于36%）的首席信息安全官报告了数据泄露。然而，最大的风险是业务连续性，43%的人报告说网络攻击导致计划外停机。

威胁行动者的活动似乎并不局限于任何特定的攻击载体或基础设施环境。所有环境的分布相当平均。

除了修复任务外，安全专业人员还要应对整个企业中大量的需求。这些需求包括（但不限于）合规性审计准备、事件响应、策略管理（GRC (GRC）、身份管理和第三方供应商管理等活动。

接受调查的组织报告的每周安全事件中位数在500-1000 个之间，超过60% 的受访者报告每周至少发生500 个安全事件。

在本次调查中，"事件"被定义为可操作的安全项目，"需要采取补救措施的安全问题，如修补漏洞、重置用户密码或端点隔离"。

大量警报凸显了一个挑战，即深度防御安全基础架构虽然必要，但也带来了一定程度的复杂性和巨大的噪音。这会使安全团队难以有效识别和优先处理需要立即补救的最危险的安全漏洞。

由于补救行动的时间和资源有限，大量的事件使"完美补丁"的前景变得困难或完全不可行。安全团队的工作重点变成了确定优先级；解决隐藏在成千上万个理论上危险的漏洞中的可利用的安全漏洞。

首席信息安全官们被问及如何在其组织内确定补救措施的优先级。他们被要求对评估补救措施紧迫性和优先级的每种方法的相对优先级进行评分。

选项包括潜在的业务影响、CVSS分数、供应商风险评分或简单的时间顺序（按事件进入系统的顺序处理）。

虽然对网络风险如何威胁整体业务连续性和运营提供了最具背景性和相关性的看法，但只有34% 的受访者将业务影响作为指导其修复策略的首要任务。

之所以更依赖于其他优先级策略，是因为它们更容易获得，也更容易操作。例如，CVSS分数排名通常内置于大多数漏洞管理解决方案的可见性指标中，而漏洞对业务运营的下游影响对大多数组织来说是遥不可及的。

IT基础设施的变化，如新的部署、工作站的增减等，都不可避免地会改变组织的网络态势。每次变化都会带来新的潜在漏洞，供威胁行为者参与和利用。

无论是通过第三方服务还是内部能力进行的 渗透测试和 Red-Teaming演习，仍然是企业用来验证其安全性的主要方法。

73% 的企业至少每季度报告一次部署变更，但只有40%的报告以相同频率测试其安全性。

这突出表明，IT基础设施中发生变更的频率与安全验证测试的频率之间存在严重差距，从而使企业长期面临风险。

为了探究是什么推动了这种做法，安全领导者被问及为什么要在他们的组织中进行渗透测试。

传统上，渗透测试起源于许多行业的合规性要求。毫无疑问，这些合规性要求，无论是由监管机构还是网络保险提供商提出的，在某种程度上仍在推动着渗透测试。但是

然而，渗透测试的主要驱动力已经发生了演变，如今它已成为一种安全驱动型实践。

网络安全控制和验证以及评估攻击成功可能造成的损失是渗透测试的两大动机。这表明，如今许多企业进行渗透测试不再是因为"不得不"，而是因为"想"。今年，引入了一个新的潜在类别，发现相当一部分CISO和企业进行渗透测试是为了促进潜在的并购活动。企业对第三方风险保持警惕，并在收购一家公司时利用渗透测试评估潜在风险状况。

对 CISO使用 渗透测试报告的情况进行了调查，结果显示，除了增强安全性，这些报告还越来越多地被用作对内和对外交流网络安全风险的工具。

超过 50%的CISO 报告显示其与执行团队和董事会（BoD）分享 结果。随着高调违规事件的增多，董事会和管理团队对网络安全及其所代表的业务风险的认识也在不断提高。

这也反映了董事会内部专业知识增多的趋势。随着网络安全专业知识在董事会中越来越普遍，他们很可能会越来越多地要求提供 渗透测试结果等报告，以便随着时间的推移对安全性能和态势进行基准测试。

渗透测试结果的交流也会扩展到组织之外。随着第三方和供应链风险的不断增加，客户对其合作伙伴和供应商的风险意识也大大提高。31%的CISO 报告说，他们会与客户分享 渗透测试的结果。

首席信息安全官如何处理渗透测试报告

与 2023年报告显示的情况类似，渗透测试的两大障碍仍然是渗透测试人员的可用性和对业务连续性风险的恐惧。

最重要的是，安全团队的任务是确保IT环境安全和业务运营不中断。安全领导者对渗透测试持谨慎态度，因为许多人过去都经历过因渗透测试导致的网络宕机。CISO希望与最有经验的渗透测试人员合作，他们能为他们的安全提供最高级别的验证，同时也能将对运营造成的风险降至最低。

与 2023年的答复相比，最大的变化是对内部补救措施的关注度上升。在2023 年，只有21% 的受访者表示，缺乏内部补救资源

今年，这一数字跃升至36%。这在小型企业中被评为首要问题。在大型企业组织（10,000名以上员工）的首席信息安全官中，只有25% 认为缺乏内部修复资源是一个问题，而54% 将业务连续性风险列为主要障碍。

对整个IT环境进行渗透测试是最理想的做法，但人工渗透测试（尤其是通过第三方服务提供商）的相关成本和资源限制使得这种做法不切实际。

相反，渗透测试大多每半年进行一次，作为横跨现代攻击面所有方面的抽样工作。由于这种限制，CISO被迫选择网络中优先级最高的区域，通常测试他们认为可见度最低、潜在风险最大的组织区域。

我们看到三大攻击面的分布均匀：云、外部/面向网络的资产和内部部署。

一个有趣的现象是，CISO并没有利用他们的 渗透测试s来验证单个应用程序的安全性。五项测试是一项昂贵的工作，CISO很可能无法证明在这一层面投资测试单个应用程序是合理的。

此外，虽然大多数组织并非主要受合规性驱动，但合规性仍是渗透测试实践中的一个重要因素。许多行业都必须根据现有法规进行测试，而测试单个应用程序并不能满足大多数合规性要求。因此，CISO很可能无法证明既不能满足安全性需求又不能满足合规性需求的测试是合理的。

去年，当被问及"组织内部红队或五项测试团队吗？67%的受访者表示有内部团队。这个数字虽然令人鼓舞，但 因此，今年的问题进行了调整，增加了 "专门"一词。

因此，"您有专门的内部红队或渗透测试团队吗？虽然改动不大，但这是为了了解有专门团队进行安全验证的组织所占的比例。在今年接受调查的企业中，有27% 的企业表示在内部有专门的五项测试或红队。

要理解这一差异，大约三分之二的企业在其安全团队中有成员进行五项测试或执行红队活动，但他们并非完全致力于这些任务。因此，如果仅限于专门的内部红队或 五项测试人员时，这一数字下降到约四分之一。

当被问及2023 年的安全支出时，受访者表示IT 安全的平均预算为127 万美元。超过42% 的企业表示预算超过100 万美元，只有14% 的企业表示预算低于50 万美元。

渗透测试的平均支出为16.44 万美元，占IT 安全平均预算总额的12.9%。只有7% 的企业表示每年用于渗透测试的预算低于5 万美元。

自去年以来，IT安全和 渗透测试的预算状况发生了重大变化。

虽然经济放缓在2022 年末已经开始影响企业，但Pentera 的《2023年渗透测试现状》报告显示，预计经济放缓不会影响网络安全预算。92%的受访者预计其总体IT安全预算会增加，而85%的受访者预计其渗透测试预算会增长。

今年，CISO们面临的挑战是用更少的资源做更多的事情。53%的首席信息安全官预计，2024年他们的总体IT安全预算将停滞或减少，56%的首席信息安全官预计他们的渗透测试预算也将如此。

虽然仍有相当多的组织预计会增加其总体IT 安全和五项测试预算，但与2023 年相比，大多数增加幅度都要小得多。与2023 年的36% 相比，今年只有5% 的CISO 预计其IT 安全预算将增长10%以上。