Новое исследование, проведенное компанией OX Security в рамках отчета "2025 Application Security Benchmark Report", выявило тревожную тенденцию в сфере безопасности приложений. Согласно полученным данным, 95-98% предупреждений о потенциальных уязвимостях не требуют никаких действий и могут даже наносить вред организациям, отвлекая ресурсы от реальных угроз.
Масштабное исследование охватило 178 организаций и проанализировало более 101 миллиона предупреждений систем безопасности. Результаты показали, что из почти 570 000 средних оповещений на организацию только 202 представляли собой реальные критические проблемы, требующие немедленного вмешательства.
Ситуация усугубляется стремительным ростом количества обнаруженных уязвимостей. Если в 2015 году было раскрыто только 6 494 CVE (Common Vulnerabilities and Exposures), то к 2025 году это число выросло до более чем 40 000 новых уязвимостей, опубликованных всего за один год. Общее количество известных CVE в мире уже превышает 200 000.
Почему же такое огромное количество предупреждений оказывается нерелевантным? Исследование выделяет три основные причины: 32% сообщаемых проблем имеют низкую вероятность эксплуатации, 25% не имеют известных публичных эксплойтов, а еще 25% связаны с неиспользуемыми или предназначенными только для разработки зависимостями.
Настоящего внимания заслуживают лишь 2-5% проблем, включающие KEV (Known Exploited Vulnerabilities) – уязвимости, которые активно используются злоумышленниками, проблемы управления секретами и некоторые вопросы управления безопасностью.
Для эффективного решения этой проблемы эксперты OX Security рекомендуют комплексный подход к приоритизации угроз, основанный на четырех ключевых факторах. Первый – достижимость, то есть используется ли уязвимый код и доступен ли он. Второй – эксплуатируемость, присутствуют ли условия для использования уязвимости. Третий – влияние на бизнес, причинит ли взлом реальный ущерб. И четвертый – сопоставление облака и кода, определяющее, на каком этапе жизненного цикла разработки возникла проблема.
Компания OX Security предлагает собственное решение под названием "Code Projection" – технологию безопасности, основанную на доказательствах, которая сопоставляет элементы облака и среды выполнения с исходным кодом. Это позволяет обеспечить контекстуальное понимание и динамическую приоритизацию рисков.
Исследование также выявило, что пороги шума остаются схожими в различных средах, хотя корпоративные окружения сталкиваются с большими проблемами из-за более широкой экосистемы инструментов. Финансовые учреждения испытывают повышенные объемы оповещений, что неудивительно, учитывая, что 95% атакующих мотивированы финансовой выгодой.
Перегрузка предупреждениями имеет серьезные последствия для организаций: потраченные впустую ресурсы на сортировку, программирование и часы работы специалистов по кибербезопасности, ненужные расходы на программы поиска уязвимостей, сложные исправления для уязвимостей, которые достигли продакшн-среды, и напряженность между командами разработки и безопасности.
В 2025 году прогнозируется появление 50 000 новых уязвимостей. Эксперты считают подход «обнаружить всё, исправить потом» устаревшим и опасным. Вместо этого необходимо сосредоточиться на интеллектуальной идентификации реальных рисков, чтобы эффективно распределять ограниченные ресурсы кибербезопасности и защищать организации от действительно опасных угроз.
Изображение носит иллюстративный характер
Масштабное исследование охватило 178 организаций и проанализировало более 101 миллиона предупреждений систем безопасности. Результаты показали, что из почти 570 000 средних оповещений на организацию только 202 представляли собой реальные критические проблемы, требующие немедленного вмешательства.
Ситуация усугубляется стремительным ростом количества обнаруженных уязвимостей. Если в 2015 году было раскрыто только 6 494 CVE (Common Vulnerabilities and Exposures), то к 2025 году это число выросло до более чем 40 000 новых уязвимостей, опубликованных всего за один год. Общее количество известных CVE в мире уже превышает 200 000.
Почему же такое огромное количество предупреждений оказывается нерелевантным? Исследование выделяет три основные причины: 32% сообщаемых проблем имеют низкую вероятность эксплуатации, 25% не имеют известных публичных эксплойтов, а еще 25% связаны с неиспользуемыми или предназначенными только для разработки зависимостями.
Настоящего внимания заслуживают лишь 2-5% проблем, включающие KEV (Known Exploited Vulnerabilities) – уязвимости, которые активно используются злоумышленниками, проблемы управления секретами и некоторые вопросы управления безопасностью.
Для эффективного решения этой проблемы эксперты OX Security рекомендуют комплексный подход к приоритизации угроз, основанный на четырех ключевых факторах. Первый – достижимость, то есть используется ли уязвимый код и доступен ли он. Второй – эксплуатируемость, присутствуют ли условия для использования уязвимости. Третий – влияние на бизнес, причинит ли взлом реальный ущерб. И четвертый – сопоставление облака и кода, определяющее, на каком этапе жизненного цикла разработки возникла проблема.
Компания OX Security предлагает собственное решение под названием "Code Projection" – технологию безопасности, основанную на доказательствах, которая сопоставляет элементы облака и среды выполнения с исходным кодом. Это позволяет обеспечить контекстуальное понимание и динамическую приоритизацию рисков.
Исследование также выявило, что пороги шума остаются схожими в различных средах, хотя корпоративные окружения сталкиваются с большими проблемами из-за более широкой экосистемы инструментов. Финансовые учреждения испытывают повышенные объемы оповещений, что неудивительно, учитывая, что 95% атакующих мотивированы финансовой выгодой.
Перегрузка предупреждениями имеет серьезные последствия для организаций: потраченные впустую ресурсы на сортировку, программирование и часы работы специалистов по кибербезопасности, ненужные расходы на программы поиска уязвимостей, сложные исправления для уязвимостей, которые достигли продакшн-среды, и напряженность между командами разработки и безопасности.
В 2025 году прогнозируется появление 50 000 новых уязвимостей. Эксперты считают подход «обнаружить всё, исправить потом» устаревшим и опасным. Вместо этого необходимо сосредоточиться на интеллектуальной идентификации реальных рисков, чтобы эффективно распределять ограниченные ресурсы кибербезопасности и защищать организации от действительно опасных угроз.