18 de septiembre Se prevé que el mercado mundial de pruebas de penetración superará los 5 mil millones de dólares anuales para 2031
Publicado por Di Freeze en Blog, Vídeo a las 16:30 25 hechos, cifras, predicciones y estadísticas sobre el hacking ético. Proporcionado por BreachLock
– Steve Morgan, editor en jefe
Sausalito, California – 18 de septiembre de 2024
“Si gastas un dólar en ciberseguridad y no realizas pruebas de penetración, estás cometiendo un gran error”, dijo a Cybersecurity Ventures Seemant Sehgal, fundador y director ejecutivo de BreachLock.
Puede gastar todo el dinero que desee para defender su perímetro y su red, implementar políticas de confianza cero, capacitar a su personal y proteger sus puntos finales, pero a menos que pruebe continuamente la efectividad de sus defensas de ciberseguridad, están abiertas a la explotación. permanecerá abierto.
Las pruebas de penetración frecuentes y sustanciales son esenciales para que las empresas de hoy reduzcan el riesgo de ataques cibernéticos. Los hechos, cifras, pronósticos y estadísticas ayudan a los CISO y a los líderes de ciberseguridad a comprender las tendencias del mercado.
25 estadísticas de mercado de Pentest
eSecurity Planet ha identificado 11 factores clave que afectan el costo de las pruebas de penetración. Alcance y escala, tipo de prueba de penetración, experiencia del probador, requisitos de cumplimiento, tipo de sistema, remediación y nueva prueba, oportunidades futuras, requisitos especiales, tipo de contrato, tipo de proveedor y costos no contractuales. Como estimación general, según Mitnick Consulting, la empresa homónima de Kevin Mitnick, la duración típica de una prueba de penetración profunda es de tres a cinco semanas y, en algunos casos, puede durar varios meses. Mitnick, ampliamente conocido como el hacker más famoso del mundo, falleció el 16 de julio de 2023. Habría cumplido 60 años el 6 de agosto durante la conferencia Black Hat USA 2023 en Las Vegas el año pasado. Hay tres tipos principales de pruebas de penetración: Las pruebas de caja negra cubren una perspectiva más amplia desde la perspectiva del atacante, las pruebas de caja gris cubren una perspectiva interna con acceso mínimo y las pruebas de caja blanca cubren una perspectiva interna más profunda. La principal diferencia entre cada tipo radica en la cantidad de información que la organización que realiza la prueba proporciona al evaluador. La Oficina de Estadísticas Laborales de EE. UU. (BLS) predice que el empleo de analistas de seguridad de la información, incluidos los evaluadores de penetración, aumentará un 35% entre 2021 y 2031. Esta es una tasa de crecimiento mucho más rápida que el promedio de todas las ocupaciones en los Estados Unidos. El año pasado, hubo más de 22.000 vacantes para probadores de penetración en los Estados Unidos, siendo el conocimiento de informática la habilidad más buscada. Payscale estima que los probadores de penetración de nivel básico que ingresan al campo pueden esperar ganar un salario de aproximadamente $72,823 por año. Con cinco a nueve años de experiencia, el salario promedio aumenta a $110,251, y los probadores de penetración experimentados pueden esperar ganar alrededor de $124,607 al año. Según Cyber Seek, el 11% de los evaluadores de penetración tienen un título de asociado, el 65% tiene una licenciatura y el 24% tiene una maestría. Según CareerExplorer, que se anuncia a sí misma como la plataforma de avance profesional líder en el mundo, el 13% de los hackers éticos (también conocidos como probadores de penetración) son mujeres y el 87% son hombres. Según CareerExplorer, el grupo étnico más grande de hackers éticos es el blanco y representa el 42% de la población. Los asiáticos del sur y otros fueron los siguientes en frecuencia, representando el 17% y el 11% respectivamente. Según Network Assured, las siete certificaciones principales para pruebas de penetración son la certificación Certified Ethical Hacker (CEH), GIAC Exploit Researcher y Advanced Penetration Tester (GXPN), GIAC Penetration Tester (GPEN) y las certificaciones Licensed Penetration Tester Master (LPT). , Certificación CompTIA Pentest+, Certificaciones de Profesional Certificado en Seguridad Ofensiva (OSCP) y Probador de Penetración de Aplicaciones Web GIAC (GWAPT). La popular certificación de Hacker Ético Certificado (CEH) de EC-Council, que poseen muchos evaluadores de penetración, cuesta entre $1,699 y $2,049. Si un candidato no pasa el examen CEH, puede solicitar un vale de recuperación de CEH de $499. La tasa de aprobación del examen CEH varía según la formación y la experiencia del candidato, pero el Ethical Hacking Bootcamp de Infosec, por ejemplo, tiene una tasa de aprobación del 93 por ciento.
Se prevé que la demanda de probadores de penetración crecerá en los próximos cinco años, con cinco nuevas habilidades ganando impulso: seguridad de contenedores (156%), seguridad integral de software (114%) y búsqueda de amenazas (105%), seguridad de aplicaciones SaaS (76%). ) y detección de anomalías (58%). Según el Top 10 del Open Worldwide Application Security Project (OWASP), las 10 categorías de vulnerabilidad más críticas para los probadores de penetración que analizan aplicaciones y plataformas basadas en web son controles de acceso deficientes, cifrado fallido y ataques de inyección, diseños inseguros y configuraciones erróneas de seguridad. , componentes débiles y obsoletos, fallas de identificación y autenticación, fallas de integridad de datos y software, problemas de monitoreo y registro de seguridad, falsificación de solicitudes del lado del servidor (SSRF). Según el Informe de inteligencia de pruebas de penetración de 2024 de BreackLock, hubo un aumento del 150 % en las vulnerabilidades críticas de las aplicaciones web y un aumento del 60 % en las vulnerabilidades críticas en 2024 en comparación con 2023. Hay 33,2 millones de pequeñas empresas en los Estados Unidos, lo que representa el 99,9% de todas las empresas en los Estados Unidos. Según la investigación de BreachLock, más del 87 % de todas las pruebas de penetración críticas y los descubrimientos de pruebas de penetración críticas se encuentran en organizaciones con menos de 200 empleados. Además, la mayoría de las pequeñas y medianas empresas solo realizan pruebas de penetración por motivos contractuales y de cumplimiento. Según un informe de 2023 de la plataforma de certificación de ciberseguridad CER, de 45 marcas de billeteras de criptomonedas, solo seis, o más del 13%, se sometieron a pruebas de penetración para encontrar vulnerabilidades de seguridad. De ellos, sólo la mitad se probó en la última versión del producto. Aproximadamente el 40% de los hackers éticos encuestados recientemente por el Instituto SANS dijeron que pudieron penetrar la mayoría, si no todos, los entornos que probaron. Aproximadamente el 60% dijo que tomaría cinco horas o menos infiltrarse en un entorno corporativo una vez que se encontrara una debilidad. A principios de este año, el Instituto de Tecnología de Rochester reunió a “los mejores talentos en ciberseguridad del mundo” para las finales mundiales del Collegiate Penetration Testing Contest (CPTC) de 2024. El evento anual concluyó la competencia de ciberseguridad basada en ataques más grande de RIT cada año para estudiantes universitarios. Un equipo de estudiantes de la Universidad Tecnológica Princesa Sumaya de Jordania se llevó a casa el mejor trofeo del CPTC. La Universidad de Stanford ocupó el segundo lugar y la Universidad de Massachusetts Amherst el tercero. En el concurso de piratería Pwn2Own celebrado en Vancouver, Canadá, en 2023, un probador de penetración con sede en Francia pirateó un Tesla Model 3 en menos de dos minutos. El ataque permitió un acceso profundo a los subsistemas que controlan la seguridad del vehículo y otros componentes. En el concurso del año pasado, las vulnerabilidades del sector automovilístico ofrecieron las mayores recompensas. Las instituciones de educación superior han mantenido durante mucho tiempo la ignominiosa posición de ser uno de los principales objetivos de los ciberdelincuentes. Según un informe, el 40% de los ataques de ransomware en instituciones de educación superior aprovechan vulnerabilidades. Las pruebas de penetración también pueden fortalecer el cumplimiento de regulaciones gubernamentales como la Ley de Privacidad y Derechos Educativos de la Familia. Esta ley fue promulgada para abordar el uso no autorizado de los registros de los estudiantes y requiere que las instituciones educativas implementen programas de seguridad de datos apropiados para evitar el acceso no autorizado o las infracciones. Las pruebas de penetración deben repetirse al menos una vez al año para garantizar que se encuentren y aborden nuevas vulnerabilidades. Según un estudio publicado por la Universidad Estatal de California en San Bernardino, las pruebas de penetración surgieron a mediados de los años 1960. El Departamento de Defensa de Estados Unidos (DoD) patrocinó “Equipos Tigre” en la década de 1970. “Los equipos Tiger eran equipos de crackers patrocinados por el gobierno y la industria que intentaban vulnerar las defensas de los sistemas informáticos para descubrir y, en última instancia, reparar agujeros de seguridad”.
– Steve Morgan es el fundador y editor en jefe de Cybersecurity Ventures.
Haga clic aquí para leer todos mis blogs y artículos sobre ciberseguridad. Haga clic aquí para enviarme sugerencias, comentarios y sugerencias sobre historias.
Proporcionado por BreachLock
Pruebas de ciberseguridad asequibles, inteligentes y escalables
BreachLock™ proporciona una plataforma SaaS que permite a los clientes solicitar y someterse a pruebas de penetración integrales con solo unos pocos clics.
Nuestro enfoque único aprovecha métodos de detección de vulnerabilidades manuales y automatizados que se alinean con las mejores prácticas de la industria.
Realizamos pruebas de penetración manuales exhaustivas y proporcionamos informes tanto en línea como fuera de línea. Vuelva a probar sus correcciones y certifíquelas para realizar una prueba de penetración. Luego realizamos análisis automatizados mensuales a través de la plataforma BreachLock. A lo largo de este proceso, tendrá acceso a la plataforma y a nuestros expertos en seguridad que pueden ayudarlo a descubrir, solucionar y prevenir su próxima infracción cibernética.
Descubra por qué las pruebas de penetración con BreachLock™ son la mejor opción para nuevas empresas, pequeñas y grandes empresas de todo el mundo.
BreachLock tiene oficinas en los Países Bajos, Londres, Nueva York y Wilmington, Delaware.
Global Penetration Testing Market To Exceed $5 Billion USD Annually By 2031
