У компании Cobalt вышел ежегодный отчёт по пентесту - State of Pentesting Report 2025. В нём показано много интересной статистики из опыта проведения пентеста за 2024-й год. Интересные моменты:
Время на исправление уязвимостей существенно отстаёт от планов
Три четверти компаний при составлении договора заявляют, что найденные уязвимости будут исправлены в течении 14-ти дней. Однако, среднее время, потраченное на устранение уязвимостей, составило 67 дней, что практически в 5 раз больше заявленного.
Исправляется менее половины найденных уязвимостей
За отчётный период из всех найденных уязвимостей исправлены только 48%. Ситуация становится лучше, когда дело касается серьёзных угроз (уязвимости с высокими показателями воспроизводимости и опасности) - 69% исправленных уязвимостей.
Треть компаний не готова к проведению тестирования безопасности ИИ
Практически все компании используют решения с генеративным искусственным интеллектом, но только 66% из них позволило провести тестирование безопасности данных решений.
LLM пока очень уязвимы
При тестировании LLM наблюдается довольно высокий процент серьёзных угроз - 32%. Это в 2.5 раза больше общей доли серьёзных угроз - 13%. После тестирования LLM только 21% найденных серьёзных уязвимостей устраняются.
Взгляд в прошлое для мотивации
Казалось бы, что статистика выглядит плачевной, но если взглянуть в ретроспективе и сравнить со статистикой 2017-го года, то виден прогресс:
- время закрытия уязвимостей значительно уменьшилось аж на 75 дней;
- процент закрытых уязвимостей увеличился примерно в 2 раза.
#Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Время на исправление уязвимостей существенно отстаёт от планов
Три четверти компаний при составлении договора заявляют, что найденные уязвимости будут исправлены в течении 14-ти дней. Однако, среднее время, потраченное на устранение уязвимостей, составило 67 дней, что практически в 5 раз больше заявленного.
Исправляется менее половины найденных уязвимостей
За отчётный период из всех найденных уязвимостей исправлены только 48%. Ситуация становится лучше, когда дело касается серьёзных угроз (уязвимости с высокими показателями воспроизводимости и опасности) - 69% исправленных уязвимостей.
Треть компаний не готова к проведению тестирования безопасности ИИ
Практически все компании используют решения с генеративным искусственным интеллектом, но только 66% из них позволило провести тестирование безопасности данных решений.
LLM пока очень уязвимы
При тестировании LLM наблюдается довольно высокий процент серьёзных угроз - 32%. Это в 2.5 раза больше общей доли серьёзных угроз - 13%. После тестирования LLM только 21% найденных серьёзных уязвимостей устраняются.
Взгляд в прошлое для мотивации
Казалось бы, что статистика выглядит плачевной, но если взглянуть в ретроспективе и сравнить со статистикой 2017-го года, то виден прогресс:
- время закрытия уязвимостей значительно уменьшилось аж на 75 дней;
- процент закрытых уязвимостей увеличился примерно в 2 раза.
#Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Ну что, друзья, у нас хорошие новости.
Мы решили заколлаборироваться с одним крутым книжным издательством и теперь нам будут давать на обзор кибербезопасные книги. Ну а мы будем писать на них отзыв в этом канале, а потом разыгрывать между вами. Ну мёд? Ну мёд.
Как только нам что-то пришлю, сразу вам расскажем😐
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Мы решили заколлаборироваться с одним крутым книжным издательством и теперь нам будут давать на обзор кибербезопасные книги. Ну а мы будем писать на них отзыв в этом канале, а потом разыгрывать между вами. Ну мёд? Ну мёд.
Как только нам что-то пришлю, сразу вам расскажем
Please open Telegram to view this post
VIEW IN TELEGRAM
Напоминаем вам, что уже завтра, в 19:30 по мск ждем вас на нашем стриме по безопасной архитектуре 😎
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Пакет Знаний | Кибербезопасность
Стрим по безопасной архитектуре
Один мой старый приятель (@Goryachev_Sergey), который сейчас является руководителем проектов ИБ в Яндексе, решил поделиться с вами базой настоящего кибербеза. Он расскажет вам о безопасной архитектуре, на пальцах разберет…
Один мой старый приятель (@Goryachev_Sergey), который сейчас является руководителем проектов ИБ в Яндексе, решил поделиться с вами базой настоящего кибербеза. Он расскажет вам о безопасной архитектуре, на пальцах разберет…
Мы начинаем наш стрим по безопасной архитектуре. Свои комментарии, пожелания и вопросы к спикеру можете писать прямо под этим постом 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Недавно наткнулся на интересный сайт с большим количеством лаб по IT. Даже есть отдельный курс по кибербезопасности, включающий в себя изучение Linux (и отдельно Kali), Wireshark, nmap и Hydra.
Также отдельно от курса на тему кибербеза есть большая база туториалов и более 300 практических лаб. Единственный минус - лабы решаются в их виртуалках, так что в бесплатной версии за день можно будет пройти три лабы.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Также отдельно от курса на тему кибербеза есть большая база туториалов и более 300 практических лаб. Единственный минус - лабы решаются в их виртуалках, так что в бесплатной версии за день можно будет пройти три лабы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Запись стрима
Тема: Безопасная архитетура
Спикер: @Goryachev_Sergey
Отличный получился доклад на тему фундамента всего кибербеза. Обсудили все, что необходимо для понимания аутентификации: OAuth 2.0, OIDC, mTLS и различные токены.
Ссылки на запись:
-📹 YouTube
-📺 VK Video
-📺 Rutube
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Тема: Безопасная архитетура
Спикер: @Goryachev_Sergey
Отличный получился доклад на тему фундамента всего кибербеза. Обсудили все, что необходимо для понимания аутентификации: OAuth 2.0, OIDC, mTLS и различные токены.
Ссылки на запись:
-
-
-
Всем еще раз спасибо за то, что зашли послушать и за вашу обратную связь.
Please open Telegram to view this post
VIEW IN TELEGRAM