95% van de appsec -oplossingen vermindert het risico niet

Cyberbeveiliging
95% van de appsec -oplossingen vermindert het risico niet

Al meer dan tien jaar hebben toepassingsbeveiligingsteams geconfronteerd met een brutale ironie: hoe geavanceerder de detectietools werden, hoe minder nuttig hun resultaten bleken te zijn. Naarmate de meldingen van statische analysetools, scanners en CVE -databases zijn gestegen, werd de belofte van een betere beveiliging verder weg. In plaats daarvan is een nieuwe realiteit in stand gehouden – één gedefinieerd door alert vermoeidheid en overweldigde teams.

Volgens het rapport van de Application Security Security Security Benchmark van Ox Security, een verbluffend 95–98% van de appsec -meldingen vereist geen actie – en kan in feite organisaties meer schaden dan helpen.

Ons onderzoek, van meer dan 101 miljoen beveiligingsbevindingen in 178 organisaties, schittert een schijnwerpers op een fundamentele inefficiëntie in moderne Appsec -activiteiten. Van bijna 570.000 gemiddelde waarschuwingen per organisatie vertegenwoordigde slechts 202 echte, kritieke kwesties.

Het is een verrassende conclusie die moeilijk te negeren is: beveiligingsteams jagen schaduwen, verspillen tijd, brandend door budgetten en het inspannen van relaties met ontwikkelaars over kwetsbaarheden die geen echte bedreiging vormen. Het slechtste deel ervan – is dat beveiliging de daadwerkelijke innovatie in de weg staat. Zoals Chris Hughes het erin zet Veerkrachtige cyber: “We doen dit alles terwijl we ons vermomden als zakelijke enablers, onze collega’s actief begraven in zwoegen, de ontwikkelingssnelheid vertraagt ​​en uiteindelijk de bedrijfsresultaten belemmert.

Hoe we hier zijn gekomen: bergen van problemen, nul context

In 2015 was de Application Security Challenge eenvoudiger. Dat jaar werden slechts 6.494 CVE’s publiekelijk bekendgemaakt. Detectie was koning. Tools werden gemeten aan de hand van hoeveel problemen ze vonden – niet of ze ertoe deden.

Snel vooruit naar 2025: Toepassingen gingen cloud-native, ontwikkelingscycli versneld en aanvalsoppervlakken die werden gebalkend. In het afgelopen jaar werden meer dan 40.000 nieuwe CVE’s gepubliceerd, wat het wereldwijde totaal op meer dan 200.000 bracht. Ondanks deze grote veranderingen zijn echter veel Appsec-tools niet geëvolueerd: ze zijn verdubbeld op detectie, overstromen dashboards met ongefilterde, contextvrije meldingen.

Ox’s benchmark bevestigt wat beoefenaars al lang vermoedden:

  • 32% van gerapporteerde problemen hebben een lage kans op uitbuiting
  • 25% hebben geen bekende openbare exploit
  • 25% voortkomen uit ongebruikte of alleen-ontwikkelingsafhankelijkheid

Deze stroom van irrelevante bevindingen vertragen niet alleen de beveiliging – het schaadt het actief.

Hoewel de meeste meldingen kunnen worden genegeerd, is het essentieel om de 2-5% nauwkeurig te identificeren die onmiddellijke aandacht vereisen. Uit het rapport blijkt dat deze zeldzame meldingen meestal KEV -problemen, het managementproblemen van geheimen en in sommige gevallen, problemen met houdingsbeheer omvatten.

De behoefte aan een holistische prioriteitenbenadering

Om dit doom-spiraal te bestrijden, moeten organisaties een meer geavanceerde benadering van toepassingsbeveiliging hanteren, op basis van bewijsgestuurde prioritering. Dit vereist een verschuiving van generieke waarschuwingsbehandeling naar een uitgebreid model dat code van ontwerpfasen tot runtime omvat en meerdere elementen bevat:

  1. Bereikbaarheid: Wordt de kwetsbare code gebruikt en is deze bereikbaar?
  2. Uitbuitbaarheid: Zijn de voorwaarden voor uitbuiting aanwezig in deze omgeving?
  3. Zakelijke impact: Zou een inbreuk hier echte schade veroorzaken?
  4. Wolken-naar-code mapping: Waar is dit probleem in de SDLC ontstaan?

Door een dergelijk raamwerk te implementeren, kunnen organisaties het lawaai effectief filteren en hun inspanningen richten op het kleine percentage waarschuwingen die een echte bedreiging vormen. Dit verbetert de effectiviteit van de veiligheid, maakt waardevolle middelen vrij en maakt meer zelfverzekerde ontwikkelingspraktijken mogelijk.

Ox Security gaat deze uitdaging aan met codeprojectie, een evidence-based beveiligingstechnologie die cloud- en runtime-elementen toewijst aan code-oorsprong, waardoor contextueel begrip en dynamische risico-prioritering mogelijk worden gemaakt.

https://www.youtube.com/watch?v=e2xrjqifdhs

Echte impact

De gegevens vertellen een krachtig verhaal: door evidence-based prioritering te gebruiken, het alarmerende gemiddelde van 569.354 Totaal aantal waarschuwingen per organisatie kan worden gereduceerd tot 11.836waarvan alleen 202 onmiddellijke actie vereisen.

Industriebenchmarks onthullen verschillende belangrijke inzichten:

  • Consistente geluidsdrempels: Baseline -geluidsniveaus blijven opmerkelijk vergelijkbaar in verschillende omgevingen, of het nu onderneming of commercieel is, ongeacht de industrie.
  • Enterprise Security Complexity: Enterprise -omgevingen staan ​​voor aanzienlijk grotere uitdagingen vanwege hun bredere gereedschapsecosysteem, grotere toepassingsvoetafdruk, een hoger volume van beveiligingsgebeurtenissen, frequentere incidenten en verhoogde totale risicoblootstelling.
  • Kwetsbaarheid van financiële sector: Financiële instellingen ervaren onderscheidende hogere alarmvolumes. Hun verwerking van financiële transacties en gevoelige gegevens maakt hen hoogwaardige doelen. Zoals het Verizon Data Breach Investigations -rapport aangeeft, is 95% van de aanvallers voornamelijk gemotiveerd door financiële winst in plaats van spionage of andere redenen. De nabijheid van financiële instellingen tot monetaire activa creëert directe winstmogelijkheden voor aanvallers.

De bevindingen hebben verstrekkende implicaties. Als minder dan 95% van de beveiligingsbeveiligingsoplossingen van toepassing van cruciaal belang is voor de organisatie, investeren alle organisaties enorme middelen in triage, programmeren en cybersecurity -uren tevergeefs. Dit afval strekt zich uit tot betalingen voor bug-bounty-programma’s, waarbij hackers van witte hat kwetsbaarheden vinden om op te lossen, evenals de kosten van gecompliceerde oplossingen voor kwetsbaarheden die niet vroeg werden ontdekt en de productie bereikten. De uiteindelijke aanzienlijke kosten zijn de spanning die is gecreëerd binnen organisaties tussen ontwikkelingsteams en beveiligingsteams, die fixes eisen voor kwetsbaarheden die niet relevant zijn.

Detectie is mislukt, prioritering is de weg vooruit

Terwijl organisaties alleen al in 2025 met een verwachte 50.000 nieuwe kwetsbaarheden worden geconfronteerd, zijn de inzet voor effectieve beveiligingstriage nooit hoger geweest. Het oude model van “alles detecteren, later fixen” is niet alleen verouderd – het is gevaarlijk.

Het rapport van Ox Security maakt een dwingende zaak: de toekomst van applicatiebeveiliging ligt niet in het aanpakken van alle mogelijke kwetsbaarheid, maar in het intelligent identificeren en zich concentreren op de problemen die reëel risico vormen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google’s zoekkoninkrijk afbrokkelt terwijl Pichai waarschuwt voor volledige vernietiging

Galaxy Tab S11 -serie zal een zware AI -integratie hebben, bevestigt Samsung

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]