Selama lebih dari satu dekade, tim keamanan aplikasi telah menghadapi ironi yang brutal: semakin maju alat deteksi, semakin tidak berguna hasilnya. Ketika peringatan dari alat analisis statis, pemindai, dan database CVE melonjak, janji keamanan yang lebih baik tumbuh lebih jauh. Sebagai gantinya, realitas baru berlangsung – yang ditentukan oleh tim kelelahan dan kewalahan.
Menurut Laporan Benchmark Keamanan Aplikasi 2025 Ox Security, yang mengejutkan 95–98% dari peringatan APPSEC tidak memerlukan tindakan – dan mungkin, pada kenyataannya, lebih merusak organisasi daripada membantu.
Penelitian kami, mencakup lebih dari 101 juta temuan keamanan di 178 organisasi, menyoroti ketidakefisienan mendasar dalam operasi APPSEC modern. Dari hampir 570.000 peringatan rata -rata per organisasi, hanya 202 yang mewakili masalah yang benar dan kritis.
Ini adalah kesimpulan yang mengejutkan yang sulit untuk diabaikan: tim keamanan mengejar bayangan, membuang -buang waktu, membakar melalui anggaran, dan berusaha keras dengan pengembang atas kerentanan yang tidak menimbulkan ancaman nyata. Bagian terburuknya – adalah bahwa keamanan menghalangi inovasi yang sebenarnya. Seperti yang dimasukkan Chris Hughes Cyber Tangguh: “Kami melakukan semua ini sambil menyamar sebagai enabler bisnis, secara aktif mengubur rekan -rekan kami dalam kerja keras, menunda kecepatan pengembangan, dan pada akhirnya menghambat hasil bisnis.
How We Get Here: Mountains of Issues, Nol Konteks
Kembali pada tahun 2015, tantangan keamanan aplikasi lebih sederhana. Tahun itu, hanya 6.494 cve yang diungkapkan secara publik. Deteksi adalah raja. Alat diukur dengan berapa banyak masalah yang mereka temukan – bukan apakah itu penting.
Maju cepat ke 2025: Aplikasi menjadi cloud-asli, siklus pengembangan dipercepat, dan permukaan serangan menggelembung. Hanya dalam satu tahun terakhir, lebih dari 40.000 CVE baru diterbitkan, sehingga total global menjadi lebih dari 200.000. Namun, terlepas dari perubahan besar ini, banyak alat APPSEC telah gagal berkembang: mereka menggandakan deteksi, dasbor banjir dengan peringatan tanpa filter, bebas konteks.
Benchmark OX menegaskan apa yang telah dicurigai oleh para praktisi:
- 32% masalah yang dilaporkan memiliki probabilitas eksploitasi yang rendah
- 25% tidak memiliki eksploitasi publik yang diketahui
- 25% Batang dari dependensi yang tidak digunakan atau hanya pengembangan
Banjir temuan yang tidak relevan ini tidak hanya memperlambat keamanan – itu secara aktif merusaknya.
Sementara sebagian besar peringatan dapat diabaikan, penting untuk secara akurat mengidentifikasi 2-5% yang membutuhkan perhatian segera. Laporan ini menunjukkan peringatan langka ini biasanya melibatkan masalah KEV, masalah manajemen rahasia, dan dalam beberapa kasus, masalah manajemen postur.
Kebutuhan akan pendekatan prioritas holistik
Untuk memerangi malapetaka ini, organisasi harus mengadopsi pendekatan yang lebih canggih untuk keamanan aplikasi, berdasarkan prioritas yang didorong oleh bukti. Ini membutuhkan pergeseran dari penanganan peringatan umum ke model komprehensif yang mencakup kode dari tahap desain ke runtime, dan mencakup banyak elemen:
- Kemampuan jangkauan: Apakah kode rentan digunakan, dan apakah dapat dijangkau?
- Kemampuan eksploitasi: Apakah kondisi untuk eksploitasi hadir di lingkungan ini?
- Dampak Bisnis: Apakah pelanggaran di sini menyebabkan kerusakan nyata?
- Pemetaan cloud-to-code: Dari mana asal SDLC masalah ini?
Dengan menerapkan kerangka kerja seperti itu, organisasi dapat secara efektif menyaring kebisingan dan memfokuskan upaya mereka pada persentase kecil peringatan yang menimbulkan ancaman yang tulus. Ini meningkatkan efektivitas keamanan, membebaskan sumber daya yang berharga, dan memungkinkan praktik pengembangan yang lebih percaya diri.
OX Security menangani tantangan ini dengan proyeksi kode, teknologi keamanan berbasis bukti yang memetakan elemen cloud dan runtime kembali ke asal kode, memungkinkan pemahaman kontekstual dan prioritas risiko dinamis.
https://www.youtube.com/watch?v=e2xrjqifdhs
Dampak dunia nyata
Data menceritakan kisah yang kuat: dengan menggunakan prioritas berbasis bukti, rata-rata yang mengkhawatirkan 569.354 Total Peringatan per organisasi dapat dikurangi menjadi 11.836yang saja 202 membutuhkan tindakan segera.
Tolok ukur industri mengungkapkan beberapa wawasan utama:
- Ambang kebisingan yang konsisten: Tingkat kebisingan dasar tetap sangat mirip di lingkungan yang berbeda, baik perusahaan atau komersial, terlepas dari industri.
- Kompleksitas Keamanan Perusahaan: Lingkungan perusahaan menghadapi tantangan yang jauh lebih besar karena ekosistem alat yang lebih luas, jejak aplikasi yang lebih besar, volume peristiwa keamanan yang lebih tinggi, insiden yang lebih sering, dan peningkatan paparan risiko secara keseluruhan.
- Kerentanan sektor keuangan: Lembaga keuangan mengalami volume peringatan yang lebih tinggi. Pemrosesan transaksi keuangan dan data sensitif mereka menjadikannya target bernilai tinggi. Seperti yang ditunjukkan oleh Laporan Investigasi Pelanggaran Data Verizon, 95% penyerang termotivasi terutama oleh keuntungan finansial daripada spionase atau alasan lainnya. Kedekatan lembaga keuangan dengan aset moneter menciptakan peluang laba langsung bagi penyerang.
Temuan ini memiliki implikasi yang luas. Jika kurang dari 95% perbaikan keamanan aplikasi sangat penting bagi organisasi, maka semua organisasi menginvestasikan sumber daya yang sangat besar dalam triase, pemrograman, dan jam keamanan siber dengan sia -sia. Limbah ini meluas ke pembayaran untuk program Bug-Bounty, di mana peretas White-Hat menemukan kerentanan untuk diperbaiki, serta biaya perbaikan rumit untuk kerentanan yang tidak ditemukan lebih awal dan mencapai produksi. Biaya signifikan terakhir adalah ketegangan yang diciptakan dalam organisasi antara tim pengembangan dan tim keamanan, yang menuntut perbaikan untuk kerentanan yang tidak relevan.
Deteksi gagal, prioritas adalah jalan ke depan
Ketika organisasi menghadapi 50.000 kerentanan baru yang diproyeksikan pada tahun 2025 saja, taruhannya untuk triase keamanan yang efektif tidak pernah lebih tinggi. Model lama “mendeteksi segalanya, perbaiki nanti” tidak hanya ketinggalan zaman – itu berbahaya.
Laporan Ox Security membuat kasus yang menarik: masa depan keamanan aplikasi tidak terletak pada mengatasi setiap kerentanan yang mungkin tetapi dalam mengidentifikasi dan fokus secara cerdas pada masalah yang menimbulkan risiko nyata.
