State of Pentesting Report 2025 – свежее ежегодное исследование от компании Cobalt, специализирующейся на проведении пентестов, и исследовательского центра Cyentia Institute

Из интересного:
Наблюдается существенный разрыв между установленными в организациях SLA для устранения уязвимостей и реальным временем устранения. Медианное время устранения составляет 67 дней для всех результатов пентестов, что в 5 раз больше, чем заявленные SLA (в среднем 14 дней на устранение критов).
Треть всех результатов пентеста AI/LLM оцениваются как критичные, что в 2,5 раза выше общего показателя.
Время устранения серьезных* уязвимостей сократилось со 112 дней в 2017 году до 37 дней в 2024 году, но при этом показатель устранения таких уязвимостей по итогам пентестов достигает лишь 69%, т.е. почти треть не исправляется вовсе🤷‍♂️
Небольшие организации (до 100 сотрудников) устраняют серьезные уязвимости значительно быстрее, чем крупные организации (от 5000 сотрудников) — MTTR отличается почти в 2.5 раза.
Самый высокий MTTR наблюдается в организациях сфер производства и образования.
Анализ выживаемости (время устранения половины уязвимостей) дает более реалистичную картину устранения уязвимостей по сравнению с MTTR.
Значение метрики анализа выживаемости достигает 104 дня для серьезных уязвимостей и 3,2 года для всех уязвимостей. Все эти значения значительно превышают установленные SLA.
Server Security Misconfiguration, Missing Access Control, XSS — самые распространенные уязвимости по результатам пентестов веб-приложений и API. В мобильных приложениях — Mobile/Server Security Misconfiguration и Lack of Binary Hardening.
Наиболее распространенными среди AI/LLM-технологий и инструментов являются SQL Injection, Prompt Injection, Insecure Output Handling.

* Под "серьезной" уязвимостью понимается уязвимость с высокой вероятностью эксплуатации и высоким уровнем влияния на технические и бизнес-операции.

#vm #pentest #vulnerability #mttr #ai #llm