نتائج من Pentera الرابع”https://pentera.io/resources/reports/global-state-of-pentesting-2025-survey-report/?utm_source=Article&source=Article&utm_medium=BleepingComputer&medium=BleepingComputer&utm_campaign=Xposure&campaign=Xposure” الهدف=”_blank” rel=”nofollow noopener”> تقرير الخماسي، التي شملت استطلاعًا حوالي 500 CISO على مستوى العالم ، تُظهر أنه على الرغم من أن ممارسات إدارة التعرض تنضج ، لا تزال هناك بعض الثغرات التي لم يعالجها السوق بعد.
سطح الهجوم الحديث مترامي الأطراف ، ديناميكية ، موزعة ، غير شفافة بشكل خطير. مع توسع المؤسسات في البنية السحابية الأصلية أو الهجينة ، ونشر واجهات برمجة التطبيقات من قبل الآلاف ، ودمج أجهزة إنترنت الأشياء و OT في العمليات الأساسية ، فإن مساحة السطح للتهديدات السيبرانية تنمو في الحجم والتعقيد. اليوم ، تدير المؤسسة المتوسطة 75 أداة أمنية ، ويبلغ ما يقرب من نصف CISOs النمو المستمر في مداخن الأمن على أساس سنوي.
هذا التعقيد لا يردع المهاجمين. أنها تمكنهم. الجهات الفاعلة التهديد تعمل بشكل انتهازي. لا يوجد سطح آمن لأن المهاجمين مدفوعون لاستغلال كل ما يتعرض ؛ إنهم متحمسون في النهاية لاستهداف الأسطح التي تكون أضعف نسبيًا من التالي. بالنسبة لقادة الأمن ، هذا يعني أنه ليس مسألة كيفية تغطية المزيد من الأرض ، ولكن أين يمكن التركيز على أقصى قدر من الأمان – حيث يمثل تهديد المخاطر المتورطة عبر سطح الهجوم؟
صدر مؤخرا”https://pentera.io/resources/reports/global-state-of-pentesting-2025-survey-report/?utm_source=Article&source=Article&utm_medium=BleepingComputer&medium=BleepingComputer&utm_campaign=Xposure&campaign=Xposure” الهدف=”_blank” rel=”nofollow noopener”> 2025 حالة خمسية تقرير من قبل”https://pentera.io/?utm_source=Article&source=Article&utm_medium=BleepingComputer&medium=BleepingComputer&utm_campaign=Xposure&campaign=Xposure” الهدف=”_blank” rel=”nofollow noopener”> Pentera يكشف عن الضعف النسبي لأسطح الهجوم المختلفة ، من البنية التحتية السحابية والأصول التي تواجه الويب إلى واجهات برمجة التطبيقات ، ونقاط النهاية ، وحتى أنظمة إنترنت الأشياء. تم سؤال CISO من 500 مؤسسة عن مكان إدراكها عبر شبكتهم ، حيث يتم توجيه جهود الخماسي ، وأي المناطق التي تم انتهاكها في النهاية.
توفر النتائج نظرة ثاقبة لفرق الأمن لشحذ تركيزها ، وتوجيه استراتيجيات الاختبار الخاصة بهم ، وإغلاق أكثر التعرضات خطورة بشكل أسرع.
حضور XPOUSHT! إدارة التعرض الوطنية vsummit
اتبع نهجًا استباقيًا لإدارة المخاطر الإلكترونية وتقليلها ، واكتساب رؤى خبراء من قادة الأمن السيبراني حول تأمين شبكات على مستوى المؤسسة ، وسماع كيف يقوم كبار اللاعبين في الصناعة بتنفيذ مراحل إدارة التهديد المستمر (CTEM).
يوفر XPOUSHED نهجًا للتفكير إلى الأمام في المرونة السيبرانية.
الحقيقة التي أطلقت القليل حول إدارة التعرض
حتى مع وجود أفضل برامج إدارة التعرض ، لا تزال الانتهاكات تحدث. لكن العمل ضمن برامج أمنية أكثر نضجًا ، تدرك الخرق لا يعني دائمًا التسوية.
خذ مثال الأصل المكشوف. قد يتم خرقه بالمعنى التقني-ربما حتى مع وجود ممثل تهديد ينشئ موطئ قدم عليها .. ولكن إذا لم يكن هذا الأصل مرتبطًا بالبيانات الحساسة أو أنظمة الإنتاج أو الخدمات الحرجة ، فإن التأثير في العالم الحقيقي أمر لا يكاد يذكر.
ليست كل الانتهاكات متساوية. هذه هي إدارة التعرض للعقلية الأساسية التي تجلبها.
على عكس إدارة الضعف التقليدية ، حيث تطارد الفرق CVES بناءً على درجات الشدة أو عمر التذاكر ، فإن إدارة التعرض استراتيجية. يعتبر كلاهما الاستغلال و تأثير لتحديد ما تهم نقاط الضعف في الواقع. تتيح هذه العدسة المزدوجة الفرق تجاوز الضوضاء والصفر على التعرضات التي يمكن أن تؤدي إلى حل وسط مدمر.
تقرير حالة الخماسي يعزز هذه الحقيقة. على الرغم من ما يقرب من 67 ٪ من المؤسسات التي أبلغت عن خرق في العامين الماضيين ، واجهت 36 ٪ فقط وقت توقف ، و 30 ٪ عانوا من التعرض للبيانات ، و 28 ٪ خسارة مالية. وهذا يعني أن جزءًا كبيرًا من “الانتهاكات” لم يكن له نتيجة تشغيلية ضئيلة أو معدومة. الهدف هو القضاء على كل خرق – ولكن فقط تلك التي ستؤذيك.
الأصول التي تواجه الويب – لا يزال أضعف رابط
إذا كانت إدارة التعرض تدور حول محاذاة العلاج مع المخاطر ، فإن الأصول التي تواجه الويب هي مثال رئيسي على حكاية تحذيرية.
وفقًا للبيانات ، تتصدر الأصول التي تواجه الويب جميع المقاييس الثلاثة: فهي تُعتبر الأكثر ضعفًا (45 ٪) ، واختبرت أكثر (57 ٪) ، وخرقها أكثر (30 ٪).
في بعض النواحي هذا أمر مشجع. إنه يوضح أن فرق الأمن تعطي الأولوية بدقة الأصول الخارجية ، والتعرف عليها كأهداف يمكن الوصول إليها وجذابة ، وتوجيه جهود الخماسي وفقًا لذلك.
ولكن على الرغم من كل هذا الاهتمام ، لا يزال المهاجمون يدخلون.
لماذا؟ لأنه فقط على أساس التعرض ، فإن الأصول التي تواجه الويب محفوفة بالمخاطر. تم تصميم هذه الأنظمة – DNS ، بوابات الويب ، وصفحات تسجيل الدخول ليكون قابلاً للوصول إليه. إن انفتاحهم يجعلهم “ثمارًا منخفضة الأطراف” ، خاصةً عندما يتم ترك عمليات التكوينات الخاطئة أو الخدمات المكشوفة أو المنافذ المفتوحة دون تحديد ودون تعويض عناصر التحكم مثل MFA.
لكن هذا لا يعني الفشل.
إذا انتهك المهاجمون أحد الأصول التي تواجه الجمهور والوصول إلى طريق مسدود – لا يمكن الوصول إلى الأنظمة الحساسة ، ولا توجد بيانات قيمة ، ولا توجد حركة جانبية – إذن ، فماذا؟ لم يكن للخرق أي تأثير. في إدارة التعرض ، لا يتعلق الأمر فقط بتقليل معدلات الخرق – بل يتعلق بتخفيض تأثير الانتهاكات التي تحدث.
الشبكات الداخلية ، ونقاط النهاية ، والتطبيقات – جبهة محتوية
عندما يتعلق الأمر بالأنظمة الأقرب إلى جواهر التاج ، فإن المنظمات تصنعها بشكل صحيح. تم اختبارها على نطاق واسع (48 ٪) تعتبر عرضة للخطر (32 ٪) ، وتشهد معدلات خرق منخفضة (16 ٪).
الشبكات الداخلية ونقاط النهاية والتطبيقات في كل تصنيف في الطبقة العليا لنشاط الخماسي وتظهر معدلات خرق منخفضة نسبيًا ، و 16 ٪ للشبكات الداخلية ، و 13 ٪ لنقاط النهاية ، و 15 ٪ للتطبيقات. كل ما يشير إلى مردود في جهد مركّز.
هذه هي الأنظمة التي تضم البيانات الحساسة ، وعمليات الطاقة ، وتمثل طريقًا واضحًا للحركة الجانبية أو تصعيد الامتياز. إن الأهمية المتصورة لهم تكسبهم مستوى أكبر من التركيز والاهتمام ، مع وجود أدوات ضوابط أمان ذات طبقة وأدوات أكثر نضجًا. كما أنه يعكس شيئًا أعمق: استحقاق إدارة التعرض. لا تقوم المؤسسات بفحص هذه الأنظمة فقط من أجل نقاط الضعف ، بل إنها تضعها في السياق ، وتحديد الأولويات بناءً على التأثير المحتمل ، والتحقق من التحقق من صحة أن الدفاعات تحمل الضغط.
خطر API – يظهر الفجوة بين الإدراك والواقع
تجلس واجهات برمجة التطبيقات عند تقاطع منطق الأعمال وأنظمة الخلفية. إنها ضرورية ومتكاملة بعمق ، وغالبًا ما يتم تجاهلها ، مع بيانات من تقرير الاستطلاع التي تشير إلى أن واجهات برمجة التطبيقات قد تكون أكثر عرضة للخطر مما تدركه فرق الأمن.
بينما يتم اختبار واجهات برمجة التطبيقات بمعدل مماثل للشبكات الداخلية (48 ٪) ، فإنها تظهر معدل خرق أعلى ، 21 ٪ ، مقارنة بنسبة 16 ٪ للشبكات الداخلية. تشير هذه الفجوة إلى فصل: إما أن خطر واجهات برمجة التطبيقات المتصورة منخفضة للغاية ، أو أن مناهج الاختبار الحالية لا تكشف عن الصورة الكاملة.
التحدي هو التعقيد. واجهات برمجة التطبيقات ديناميكية ، يصعب المخزون ، ومن الصعب اختبارها بشكل جيد. لا يقتصر سطح الهجوم على المنافذ أو نقاط النهاية ، بل يتعلق بعيوب المنطق ، والمصادقة المكسورة ، والتكامل الخاطئ ، مما يؤدي إلى مسارات الهجوم التي لا تظهر في فحص قياسي.
كما أن واجهات برمجة التطبيقات (APIs) بشكل متكرر ، سواء كانت بين الخدمات السحابية وأدوات الطرف الثالث وتطبيقات الأجهزة المحمولة وقواعد البيانات الداخلية. وهذا يجعلها أهدافًا رئيسية للحركة الجانبية أو عملية التخلص من البيانات. وفجوة الرؤية الخاصة بهم تجعلها جذابة بشكل خاص للمهاجمين الذين يفهمون كيفية التحرك أسفل الرادار.
إن إغلاق الفجوة يعني رفع مستوى الاختبار ، سواء من حيث التردد أو العمق. يعد الاختبار المستمر والمادي لبرامج واجهات برمجة التطبيقات أمرًا ضروريًا لفضح عيوب التكامل التي يبدو أن الأساليب التقليدية مفقودة.
تُظهر إدارة التعرض علامات مشجعة على المحاذاة
يؤكد تقرير حالة 2025 من Pentesting ما عرفناه لسنوات – على مقربة من مخاطر الأعمال يدفع التنفيذ الأكثر حدة.
هناك محاذاة متزايدة بين المخاطر المتصورة ، ونشاط الخماسي ، والانتهاكات. إشارة قوية إلى أن ممارسات إدارة التعرض تنضج ، حيث تقلل الفرق من الفجوة بين المخاطر المفترضة والمخاطر الفعلية.
هدف إدارة التعرض ليس منع كل خرق. إنه لمنع تلك المهمة. من خلال الجمع بين تحديد الأولويات القائمة على البيانات والتحقق المستمر ، يمكن أن تركز فرق الأمن على التعرض الحقيقي ، وليس التهديدات النظرية. التأكد من أنه عندما يطرق المهاجم ، لا يوجد شيء ذي قيمة وراء هذا الباب.
لمعرفة المزيد حول كيفية تنفيذ الشركات الرائدة”https://events.pentera.io/xposure2025?utm_source=Article&source=Article&utm_medium=BleepingComputer&medium=BleepingComputer&utm_campaign=Xposure&campaign=Xposure” الهدف=”_blank” rel=”nofollow noopener”> xposure، إدارة التعرض الوطنية vsummit.
برعاية وكتابة من قبل”https://events.pentera.io/xposure2025?utm_source=Article&source=Article&utm_medium=BleepingComputer&medium=BleepingComputer&utm_campaign=Xposure&campaign=Xposure” الهدف=”_blank” rel=”sponsored noopener”> Pentera.