Veliki broj sigurnosnih upozorenja, od kojih mnoga generišu automatizovani alati, preopterećuje sigurnosne i razvojne timove, prema izvještaju Application Security Benchmark 2025 kompanije Ox Security.
Izvještaj se zasniva na analizi više od 101 milion sigurnosnih nalaza aplikacija, prikupljenih iz 178 organizacija tokom 90 dana (četvrti kvartal 2024). Podaci pokazuju da samo 2-5% sigurnosnih upozorenja zahtijeva hitnu akciju, ali organizacije i dalje troše dragocjene resurse na preostalih 95% manje kritičnih problema.
U prosjeku, organizacije se suočavaju s 569.354 sigurnosnih upozorenja, ali taj broj se može smanjiti na 11.836 korištenjem prioritizacije zasnovane na kontekstu. Kritičnih problema ima samo 202.
Sigurnosne ranjivosti aplikacija su naglo porasle u posljednjim godinama
Broj prijavljenih sigurnosnih ranjivosti u aplikacijama značajno je porastao posljednjih godina. Javno dostupna CVE baza podataka identifikovala je 6.494 ranjivosti u 2015. godini, dok ih je u 2024. prijavljeno čak 40.291, čime je ukupan broj poznatih ranjivosti dostigao oko 200.000. Ovaj trend se ne usporava. Forum Incident Response and Security Teams (FIRST) predviđa da će se u 2025. pojaviti između 41.000 i 50.000 novih ranjivosti.
Veliki broj sigurnosnih nalaza i nemogućnost pravilne prioritizacije problema stvaraju zabrinjavajući obrazac u sigurnosti aplikacija (AppSec): ranjivosti ostaju neriješene u ranim fazama razvoja, kada bi ih bilo lakše i jeftinije popraviti.
Ovaj rast ranjivosti, zajedno s pritiskom na bržu isporuku softvera, dodatno opterećuje sigurnosne timove. Dok komercijalni sigurnosni alati često odlično detektuju probleme, oni takođe generišu prevelik broj upozorenja, što dovodi do “zamora od upozorenja”.
Sigurnosni i razvojni timovi se iscrpljuju pokušavajući riješiti manje bitne probleme i probijajući se kroz ogroman broj upozorenja. To povećava vjerovatnoću da će stvarne prijetnje proći neprimijećeno, čime se organizacija dovodi u veći rizik. Zbog toga organizacije trebaju pametna rješenja za filtriranje nepotrebnih informacija i fokusiranje ograničenih sigurnosnih resursa na mali broj stvarnih, iskorištivih rizika za važne poslovne sisteme.
Pored toga, sigurnosni skeneri često ne mogu jasno razlikovati stvarne sigurnosne ranjivosti od loših programerskih praksi.
Finansijske institucije se suočavaju s većim brojem sigurnosnih upozorenja
Problem s 95% manje kritičnih upozorenja naglašava važnost kontekstualne analize i prioritizacije zasnovane na dokazima. Razmatrajući faktore koji idu dalje od početne procjene ranjivosti, organizacije mogu efikasno filtrirati nekritična upozorenja i fokusirati se na ona koja predstavljaju stvarnu prijetnju.
Iako većinu upozorenja treba deprioritizirati, ključno je prepoznati 2-5% koja zahtijevaju hitnu pažnju. Oko 1,71% svih problema (približno 36.000) idenfikovati je kao poznate i iskorištene ranjivosti (KEV). Katalog KEV-a, koji održava CISA, sadrži ranjivosti za koje je poznato da su već iskorištene u napadima.
Ove ranjivosti više nisu samo teoretske – one su već iskorištene i mogu se ponovo iskoristiti, što ih čini visokorizičnim. Stoga bi se očekivalo da se kritične ranjivosti iz ovog kataloga tretiraju s većim prioritetom od onih koje nisu u njemu navedene.
Finansijske institucije doživljavaju značajno veće količine sigurnosnih upozorenja – čak 55% više u odnosu na druge sektore. Njihova povezanost s finansijskim transakcijama i osjetljivim podacima čini ih atraktivnim metama za napade.
Ako je manje od 5% sigurnosnih problema zaista kritično, organizacije gube ogromne količine vremena i resursa na procjenu, programiranje i sigurnosne aktivnosti. Ovaj gubitak uključuje i plaćanja u okviru bug bounty programa, gdje etički hakeri dobijaju nagrade za otkrivanje ranjivosti, kao i troškove rješavanja ranjivosti koje nisu otkrivene na vrijeme i stigle su do proizvodnog okruženja.
Zaključak: Pametniji pristup sigurnosti aplikacija
Zaključak je jasan – budućnost sigurnosti aplikacija ne leži u pokušaju popravljanja svake moguće ranjivosti. Ključ je u pametnoj strategiji fokusiranja na probleme koji predstavljaju stvarne sigurnosne rizike.
Izvor:Help Net Security
