2025-04-24 08:46 上海
安小圈
第652期
2025 · 渗透测试
本报告基于对2700余家组织的渗透测试结果和安全管理者问卷分析。数据显示,尽管有81%的受访安全负责人认为其组织具备良好的安全态势,但在例行渗透测试中发现的严重漏洞中,仍有31%尚未修复。
整体而言,企业平均仅修复了48%的渗透测试发现的漏洞。对高危与严重等级漏洞的处理率略高,为69%,但仍难掩整体响应的滞后。
报告特别指出,生成式人工智能(genAI)应用的漏洞风险日益凸显,成为新的安全短板。过去一年内,95%的组织对genAI应用进行了渗透测试,其中约32%的测试发现了严重漏洞。然而,这些漏洞的修复率仅为21%。未被处理的风险类型包括提示注入(Prompt Injection)、模型操控和数据泄露等。
随着AI技术在业务中快速落地,其带来的安全挑战也迅速成为焦点。72%的受访者将AI攻击列为当前最关注的威胁,超过第三方软件漏洞、被利用的系统弱点、内部人员威胁,甚至国家级网络攻击。
然而,仅有64%的安全专业人员表示,他们的组织已经“准备充分”,能够全面应对genAI带来的安全挑战。这一认知差距,进一步加剧了漏洞响应中的不确定性。
此外,报告还指出,不少企业在安全治理中受到“速度优先于安全”的压力困扰。52%的安全负责人承认,在面对业务快速推进的要求时,往往不得不牺牲部分安全细节,导致修复效率受到影响。
软件供应链风险同样令人担忧。仅有一半的受访者对自身发现和预防供应商漏洞的能力持“完全信任”态度。这一现象在当前合规监管不断加强的背景下显得尤为突出——82%的组织被客户或监管机构要求提供可信的软件安全保障。
Cobalt首席技术官Gunter Ollman评论道:“在AI加速落地的当下,持续的渗透测试对组织的安全态势评估至关重要。”
“虽然当前仍有三成严重漏洞未被修复,但能够及时发现这些问题,本身就是风险缓解的第一步。积极采取攻防演练与渗透测试的企业,已在网络防御方面走在了攻击者前面。”
他补充道:“通过这种方式,不仅能提前满足合规要求,也能增强客户对企业安全能力的信任感。”
据介绍,本次报告数据来源于Cobalt开展的大量渗透测试结果,并结合第三方研究机构Emerald Research对安全专业人士的调研数据。所有渗透测试数据在交由Cyentia Institute进行独立分析前,已完成严格脱敏处理。
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
END
