گزارش 2024 Pentera صدها رویداد امنیتی را در هفته نشان می‌دهد و اهمیت اعتبارسنجی مداوم را برجسته می‌کند.

 

طی دو سال گذشته، 51 درصد از سازمان‌هایی که در یک گزارش صنعتی پیشرو مورد بررسی قرار گرفتند، توسط یک حمله سایبری در معرض خطر قرار گرفتند. بله، بیش از نصف

و این، در دنیایی است که شرکت‌ها به طور متوسط 53 راه حل امنیتی مختلف را برای محافظت از دامنه دیجیتال خود به کار می‌گیرند.

 

هشدار دهنده؟ کاملا.

یک نظرسنجی اخیر از CISO و CIO که توسط Pentera انجام شده و توسط Global Surveyz Research انجام شده است، نگاهی اجمالی کمی به این میدان جنگ در حال تکامل ارائه می‌کند و تضاد فاحشی را بین خطرات فزاینده و محدودیت‌های بودجه سخت‌تر که تحت آن متخصصان امنیت سایبری فعالیت می‌کنند، نشان می‌دهد.

با این گزارش، Pentera بار دیگر ذره‌بین را به حالت pentesting رسانده تا گزارش سالانه خود را در مورد شیوه های pentesting امروز منتشر کند. این گزارش با تعامل 450 مدیر امنیتی از آمریکای شمالی، LATAM، APAC و EMEA – همه در سمت‌های معاونت C-level در سازمان‌هایی با بیش از 1000 کارمند – تصویری فعلی از شیوه‌های اعتبارسنجی امنیتی مدرن در سراسر سازمان را ترسیم می‌کند.

 

 

یافته های کلیدی عبارتند از:

تأثیر نقض زیاد است:
43 درصد از توقف برنامه‌ریزی نشده خبر دادند
36 درصد قرار گرفتن در معرض داده‌ها را گزارش کردند
31 درصد زیان مالی را گزارش کردند
از آنجایی که هیئت مدیره (BoDs) در فضای سایبری آگاهی بیشتری پیدا می‌کند، بیش از 50 درصد از CISOها اکنون گزارش‌های مخرب خود را با هیئت‌مدیره به اشتراک می گذارند.
شکاف قابل توجهی بین نرخ تغییر در محیط‌‌های فناوری اطلاعات و دفعات آزمایش‌های امنیتی وجود دارد که باعث می‌شود دارایی‌های دیجیتال سازمان‌ها برای دوره‌های طولانی آزمایش نشده باقی بماند.
با میانگین 500 رویداد اصلاحی در هفته، اولویت‌بندی موثر یکی از مهم‌ترین عوامل برای تیم‌های امنیتی است.

 

نقض امنیت با وجود سرمایه گذاری‌ها ادامه دارد

گزارش 2024 نشان می‌دهد که شرکت‌ها به طور متوسط 53 راه حل امنیتی دارند، با این حال آنها در تلاش برای حفظ محرمانگی، یکپارچگی، در دسترس بودن (CIA) سه گانه هستند. به عنوان بخشی از سیاست‌ها و اقدامات امنیتی، این سه گانه از سیستم‌های اطلاعاتی و داده‌ها در برابر تهدیدات مختلف محافظت می‌کند و اطمینان می‌دهد که اطلاعات ایمن، قابل اعتماد و در دسترس افراد مناسب است.

این واقعیت به این شکل تأیید می‌شود که 51٪ از CISOهای مورد بررسی به نقض امنیت سایبری در دو سال گذشته اعتراف کرده‌اند. چنین نقض‌هایی منجر به اختلالات عملیاتی قابل‌توجهی، از جمله توقف برنامه‌ریزی نشده، قرار گرفتن در معرض داده‌ها و زیان‌های مالی شده است. تنها 7 درصد از شرکت‌ها از تأثیرات قابل توجه ناشی از نقض اجتناب کردند. این حوادث اهمیت داشتن دفاع‌های امنیتی سایبری قوی را نشان می‌دهد.

 

شرکت‌ها توزیع تقریباً برابری از حملات را در زیرساخت‌های فناوری اطلاعات خود تجربه کردند. از جمله دستگاه‌های راه دور، محیط‌های داخلی و ابری، که نیاز به آزمایش و ایمن‌سازی منظم هر یک از این دامنه‌ها اشاره می‌کند. نمایه افزایش یافته ابر به عنوان یک هدف حمله با سایر گزارش‌های صنعت سازگار است. گزارش تهدید جهانی Crowdstrike برای سال 2024 افزایش 75 درصدی نفوذ ابرها را در سال گذشته گزارش کرد. آنها پیش‌بینی کردند که در سال‌های آینده، با پیشرفت بیشتر سازمان‌ها با تلاش‌های مهاجرت ابری و تغییر به سمت استقرارهای عمدتاً ابری یا بومی ابری، این رقم افزایش خواهد یافت.

 

افزایش مشارکت مدیران و هیئت مدیره

با توجه به رخنه‌های پررنگی که در سرفصل‌ها قرار گرفته است، افزایش قابل توجهی در نظارت بر امنیت سایبری از بالا مشاهده می‌شود. اکنون بیش از نیمی از CISOها به طور منظم نتایج پنج گانه را به هیئت مدیره خود گزارش می‌دهند که اهمیت استراتژیک امنیت سایبری برای شرکت را برجسته می کند. CISOها به طور فزاینده ای از گزارش های pentest به عنوان راهی برای انتقال بهتر خطرات امنیت سایبری به تیم‌های اجرایی و هیئت مدیره خود استفاده می‌کنند.

بعلاوه، 31 درصد از CISOها با اذعان به اهمیت شفافیت در مدیریت ریسک‌های شخص ثالث و زنجیره تامین، نتایج نهایی را با مشتریان به اشتراک می‌گذارند. اتخاذ این روش نه تنها باعث ایجاد اعتماد می‌شود، بلکه فرهنگ باز بودن در مورد چالش‌ها و اقدامات امنیت سایبری را نیز ترویج می‌کند.

 

بستن شکاف Pentesting

این نظرسنجی شکاف نگران کننده‌ای را بین دفعات تغییرات محیط فناوری اطلاعات و سرعت تست‌های امنیتی برجسته می‌کند. در حالی که 73 درصد از سازمان‌ها گزارش می‌دهند که تغییرات فصلی فناوری اطلاعات را انجام می‌دهند، تنها 40 درصد با این سرعت با تلاش‌های سخت‌گیرانه خود مطابقت دارند. این امر سازمان‌ها را برای مدت طولانی در معرض خطر قرار می‌دهد.

به طور متوسط، شرکت ها 164,400 دلار را به آزمایش دستی اختصاص می‌دهند که نشان دهنده 12.9٪ از بودجه سالانه امنیت فناوری اطلاعات آنها است. با توجه به اینکه 60 درصد از سازمان‌ها حداکثر دو بار در سال آزمایش می‌کنند، این یک سرمایه گذاری بزرگ و بخش قابل توجهی از بودجه برای یک فعالیت امنیتی است که فقط یک ارزیابی فوری از وضعیت امنیتی ارائه می‌دهد. با توجه به اهمیت پنتست‌ها برای بهبود انعطاف‌پذیری فناوری اطلاعات، ارزش آن را دارد که راه‌حل‌هایی را در نظر بگیریم که pentesting پیوسته مقیاس‌پذیر را ارائه می‌دهند.

 

Patch Perfect واقع بینانه نیست

فراتر از فعالیت‌های اصلاحی، تیم‌های امنیتی دارای مجموعه‌ای از مسئولیت‌ها هستند که آن‌ها را تا مرزهای خود می‌کشاند.

در این زمینه، شرکت‌ها مملو از رویدادهای امنیتی هستند. با توجه به اینکه بیش از 60٪ از شرکت‌ها گزارش داده‌اند که حداقل 500 حادثه را در هفته دریافت می‌کنند که نیاز به اصلاح دارند، به طور فزاینده‌ای واضح است که هنر اولویت‌بندی، هنری است که تیم‌های امنیتی باید یاد بگیرند تا سازمان خود را به خوبی محافظت کنند. تیم‌های امنیتی که قادر به درک مؤثر زمینه یک آسیب‌پذیری، کنترل‌های جبران‌کننده آن و داده‌هایی هستند که به آن منتهی می‌شود، در بازی باقی خواهند ماند.

 

 

این یافته ها به چه معناست؟

بررسی وضعیت Pentesting در سال 2024، توسط Pentera، بر یک مقطع حیاتی برای امنیت سایبری تأکید می‌کند: با ادامه تکامل تهدیدها، بسیاری از راه حل‌های امنیتی در کاهش آنها ناکام مانده‌اند و سازمان‌های CISO را ملزم می‌کند تا امنیت زیرساخت‌های خود را به طور مداوم تأیید کنند.

بینش‌های این نظرسنجی فقط آمار نیستند، بلکه فراخوانی جهت اقدام برای امنیت سایبری بهتر و کارآمدتر هستند که با واقعیت‌های مالی و عملیاتی زمان ما همسو هستند.

 

references:

https://thehackernews.com