اینترنت اشیاء

Horizon3.ai گزارش بینش‌های امنیت سایبری ۲۰۲۵ را منتشر کرد: یافته‌های کلیدی از بیش از ۵۰,۰۰۰ آزمون نفوذ NodeZero

  • نویسنده: تیم یک صنعت
  • 1404/4/9
  • 15

شرکت Horizon3.ai، پیشرو جهانی در حوزه امنیت تهاجمی، گزارش بینش‌های امنیت سایبری سال 2025 خود را منتشر کرده است. این گزارش به بررسی شایع‌ترین نقص‌های امنیتی که سازمان‌ها با آن‌ها روبه‌رو هستند، می‌پردازد. با تحلیل روندهای بهره‌برداری از 50,000 تست امنیتی خودکار NodeZero که در سال 2024 انجام شده و همچنین نظرسنجی از حدود 800 مسئول امنیتی، این گزارش نشان می‌دهد که چگونه استراتژی‌های امنیتی منفعلانه سنتی ناکارآمد هستند و سازمان‌ها چه تغییراتی باید انجام دهند تا از تهدیدات سایبری که به‌طور مداوم در حال تکامل هستند، یک قدم جلوتر باشند.

Horizon3.ai، "امنیت تهاجمی" را به‌عنوان استفاده از تکنیک‌های مهاجم واقعی برای شناسایی و بهره‌برداری از نقاط ضعف در محیط‌های IT تعریف می‌کند. برخلاف امنیت منفعلانه که بر اساس تدابیر دفاعی چند لایه‌ای عمل می‌کند که اغلب کارایی آن‌ها نامعلوم است، NodeZero به‌صورت خودکار تست‌های جامع و ایمنی را انجام می‌دهد که به‌طور دقیق نشان می‌دهند مهاجمان چگونه می‌توانند سیستم‌های حیاتی را به خطر بیاندازند. نتیجه این کار: شواهد واضح و قابل اجرایی که به تیم‌ها امکان می‌دهد تا نقاط ضعف را کشف، رفع و تایید کنند - قبل از اینکه مهاجمان ضربه بزنند.

نتایج کلیدی گزارش:

• نواقص در اسکن آسیب‌پذیری – با وجود اینکه 98 درصد از سازمان‌ها از اسکن آسیب‌پذیری استفاده می‌کنند، تنها 34 درصد آن را به‌طور موثر ارزیابی می‌کنند زیرا هشدارهای نادرست تیم‌ها را از تمرکز بر روی ریسک‌های واقعی باز می‌دارد.
• حملات مبتنی بر اطلاعات کاربری همچنان یک ریسک بزرگ هستند – NodeZero در بیش از 28,000 مورد به طور موفقیت‌آمیز اطلاعات کاربری را استخراج کرده است که نشان‌دهنده خطر گسترده اطلاعات کاربری و سیاست‌های ضعیف است.
• تأخیر در مدیریت پچ‌ها سیستم‌ها را به شدت به خطر می‌اندازد – بیش از نیمی از دست‌اندرکاران (53 درصد) و بیش از یک‌سوم مسئولان امنیتی (36 درصد) اذعان دارند که به دلیل محدودیت‌های عملیاتی، پچ‌ها را به تأخیر می‌اندازند و این امر باعث می‌شود تا نقاط ضعف حیاتی برای مدت طولانی‌تری باز بمانند.
• نقاط ضعف شناخته‌شده بدون پچ باقی می‌مانند – NodeZero توانسته است 229 نقطه ضعف شناخته‌شده را در محیط‌های مشتریان نزدیک به 100,000 بار بهره‌برداری کند که نشان می‌دهد بسیاری از سازمان‌ها حتی در برابر تهدیدات گسترده و شناخته‌شده نیز در اتخاذ اقدامات ضروری برای رفع مشکل دچار مشکل هستند.

«امنیت تنها واکنش نیست – بلکه پیشگیری از مهاجم است»، Snehal Antani، مدیر عامل و یکی از بنیان‌گذاران Horizon3.ai، می‌گوید. او می‌افزاید: «بسیاری از سازمان‌ها هنوز هم انطباق را با امنیت واقعی اشتباه می‌گیرند و به فرضیات منسوخ و چرخه‌های آزمون سالانه تکیه می‌کنند. این گزارش تأیید می‌کند که مسئولان امنیتی مدرن از مدت‌ها قبل می‌دانستند: باید همانند مهاجم فکر کرد، مانند یک اپراتور اعتبارسنجی کرد و برنامه‌ای امنیتی توسعه داد که در برابر تهدیدات واقعی مقاومت کند.»

چرا امنیت تهاجمی تنها راه پیش رو است

این مشکلات تنها به این موارد محدود نمی‌شوند – آنها همان الگویی گسترده‌تری را منعکس می‌کنند که گزارش به آن اشاره دارد. در نه حوزه مرکزی مشخص می‌شود که سازمان‌ها همچنان به آزمون‌های یکباره، ابزارهای نامطمئن و مدل‌های ریسکی تکیه می‌کنند که بیشتر بر پایه فرضیات تا واقعیت‌های اثبات‌شده هستند. هر بخش از گزارش به نقص‌های تکراری اشاره می‌کند – از اضافه‌بار ناشی از نقاط ضعف و تأخیر در پچ‌ها تا آزمون‌های نفوذی ناکارآمد، پیکربندی‌های نادرست ابر و به‌ویژه نقاط ضعف در اطلاعات کاربری. رفع این مشکلات به بیش از اقدامات اصلاحی نیاز دارد؛ نیازمند دید مداوم بر هویت، دسترسی و امتیازات است.

مهم‌ترین درس: تنها یک رویکرد تهاجمی که به‌طور مداوم آمادگی را نظارت می‌کند و دفاع‌ها را معتبر می‌سازد، در حالی که از فریب، شناسایی و دیدگاه‌های مهاجمین واقعی بهره می‌برد، می‌تواند شکاف‌هایی را که مهاجمان به آنها متکی هستند، شناسایی و برطرف کند. «این گزارش یک زنگ خطر برای تیم‌های امنیتی است»، Stephen Gates، کارشناس ارشد امنیتی در Horizon3.ai، می‌گوید. «نه تنها نشان می‌دهد که دفاع‌ها در کجا ناکام می‌مانند، بلکه مسیر پیش رو را نیز مشخص می‌کند. کسانی که هنوز به فرضیات، ابزارهای ایستا یا آزمون‌های سالانه تکیه می‌کنند، باید این داده‌ها را جدی بگیرند: زمان آن رسیده است که تکامل یابیم. امنیت تهاجمی یک نیاز ضروری است – این استراتژی است که تاب‌آوری را از آسیب‌پذیری جدا می‌کند.»

گزارش "وضعیت امنیت سایبری در سال 2025: بینش‌های مبتنی بر داده از بیش از 50,000 آزمون نفوذی NodeZero" در حال حاضر در Horizon3 در دسترس است. این گزارش به بررسی علل اصلی نقص‌های امنیتی سرسخت فعلی می‌پردازد. یاد می‌گیرید که چگونه یک رویکرد تهاجمی به سازمان‌ها کمک می‌کند تا نهایتاً شکاف‌هایی را که مهاجمان واقعاً بر آن‌ها تکیه می‌کنند، ببندند.

مطالب مرتبط