调查发现，平均每家公司都部署了近44个安全解决方案，这表明大多数企业较为重视纵深防御，他们会分层多个安全解决方案，以最大限度地保护关键资产。然而，尽管采取了大量的安全措施，仍有88%的受访者表明自己的组织在过去两年内发生过安全事件。

Forrester分析师埃里克·诺斯特（Erik Nost）表示：“纵深防御不仅仅只是预防，发现和应对攻击也是战略的一部分。而事实上，这些纵深防御策略很可能是‘降低攻击发现’的罪魁祸首。其次，大多数组织拥有庞大的攻击面，其中有一些还是组织所不知道的，而评估攻击面的漏洞可能需要很长时间，在这段时间里就有可能错过某些攻击发现，然后就需要决定优先级或花时间补救。”

报告指出，世界整体经济放缓可能不会影响2023年的网络安全预算，根据调查，92%的组织已经增加了安全预算，85%的组织增加了渗透测试预算。

Pentera客户运营副总裁陈特内在一份新闻稿中表示：“CISO接下去要更重视整个安全堆栈的验证，我很高兴看到大多数安全团队都已获得了所需的预算。”

报告称，尽管最初的渗透测试需求是由监管要求推动的，但进行渗透测试的主要原因是源于安全验证、对潜在损害评估和网络安全保险。

报告指出，只有22%的受访者认为合规性是他们进行渗透测试的主要原因，这表明监管并不是这种渗透测试的主要驱动力。

科恩说：“在2020年的调查中，CISO们会认为监管合规是安全最大的驱动力，但今天这说法已经跌至谷底了。这是一个积极的转变，表明安全管理人员并不依赖法规，每天只在等待法规给出指示，而是选择了主动采取行动。”

疫情导致了网络攻击激增，网络安全保险政策成为了渗透测试另一个重要的驱动因素，36%的受访者认为这是他们进行渗透测试的主要原因，这与2020年的调查结果形成了对比，当初只有2%的人认为网络安全保险是他们进行渗透测试的首要驱动力。

诺斯特说：“部分组织需要监管机构的推动，才愿意做出改变，但随着安全解决方案、技术和威胁的发展，监管要求已跟不上变化的步伐，所以企业需要自己跟进安全趋势。”

报告发现，82%的公司已经做过渗透测试，然而这种测试的主要问题在于会对业务连续性造成障碍。一些没有进行渗透测试的公司在考虑增加测试的频率，只不过业务连续性的风险需要被他们更多防范。

45%已经进行过渗透测试的受访者表示，业务应用程序或网络可用性的风险使他们无法增加测试频率，而另有56%的受访者表示，自己从未使用过渗透测试。