Durante más de una término, los equipos de seguridad de aplicaciones se han enfrentado a una ironía formidable: cuanto más avanzadas se volvieron las herramientas de detección, menos avíos son sus resultados. A medida que aumentaron las alertas de herramientas de exploración estáticas, escáneres y bases de datos CVE, la promesa de una mejor seguridad se volvió más distante. En su sitio, una nueva verdad se apoderó, una definida por la pena alerta y los equipos abrumados.
Según el documentación de remisión de seguridad de aplicaciones de aplicaciones 2025 de Ox Security, un asombroso El 95–98% de las alertas de APPSEC no requieren movimiento – Y puede, de hecho, dañar a las organizaciones más que ayudar.
Nuestra investigación, que albarca más de 101 millones de hallazgos de seguridad en 178 organizaciones, le destaca una ineficiencia fundamental en las operaciones modernas de APPSEC. De casi 570,000 alertas promedio por ordenamiento, solo 202 representaron temas verdaderos y críticos.
Es una conclusión sorprendente que es difícil de ignorar: los equipos de seguridad están persiguiendo sombras, perdiendo el tiempo, quemando los presupuestos y las relaciones con los desarrolladores sobre las vulnerabilidades que no representan una amenaza auténtico. La peor parte de ella es que la seguridad se interpone en el camino de la innovación auténtico. Como Chris Hughes lo pone Cibernético resistente: “Hacemos todo esto mientras nos disfrazamos como habilitadores comerciales, enterrando activamente a nuestros compañeros en el trabajo, retrasando la velocidad del exposición y, en última instancia, impiden los resultados comerciales.
Cómo llegamos aquí: montañas de problemas, contexto cero
En 2015, el desafío de seguridad de la aplicación fue más simple. Ese año, solo 6.494 CVE fueron revelados públicamente. La detección era el rey. Las herramientas se midieron por cuántos problemas encontraron, no si importaban.
Avance rápido hasta 2025: las aplicaciones fueron nativas en la nimbo, los ciclos de exposición acelerados y las superficies de ataque se dispararon. En el año pasado, se publicaron más de 40,000 nuevos CVE, lo que elevó el total universal a más de 200,000. Sin confiscación, a pesar de estos cambios importantes, muchas herramientas de APPSEC no han podido cambiar: se han duplicado en la detección, inundando paneles con alertas sin contexto sin filtro.
El punto de remisión de Ox confirma lo que los practicantes han sospechado durante mucho tiempo:
- 32% de los problemas informados tienen una devaluación probabilidad de explotación
- 25% No se ha conocido la exploit pública
- 25% provecho de dependencias no utilizadas o de solo exposición
Esta inundación de hallazgos irrelevantes no solo ralentiza la seguridad, sino que la perjudica activamente.
Si aceptablemente la mayoría de las alertas se pueden ignorar, es esencial identificar con precisión el 2-5% que requiere atención inmediata. El documentación muestra que estas alertas raras generalmente implican problemas de KEV, problemas de administración de secretos y, en algunos casos, problemas de administración de postura.
La exigencia de un enfoque de priorización holística
Para combatir este espíritu de tropiezo, las organizaciones deben adoptar un enfoque más sofisticado para la seguridad de la aplicación, basado en la priorización basada en la evidencia. Esto requiere un cambio del manejo genérico de alerta a un maniquí integral que cubre el código desde las etapas de diseño hasta el tiempo de ejecución, e incluye múltiples utensilios:
- Accesibilidad: ¿Se utiliza el código inerme y es accesible?
- Explotabilidad: ¿Están presentes las condiciones para la explotación en este entorno?
- Impacto comercial: ¿Una violación aquí causaría daños reales?
- Mapeo de nubes a código: ¿En qué parte del SDLC se originó este problema?
Al implementar dicho entorno, las organizaciones pueden filtrar de modo efectiva el ruido y alumbrar sus esfuerzos en el pequeño porcentaje de alertas que representan una amenaza genuina. Esto restablecimiento la efectividad de la seguridad, libera medios valiosos y permite prácticas de exposición más seguras.
La seguridad de OX está abordando este desafío con la proyección de código, una tecnología de seguridad basada en evidencia que mapea los utensilios de tiempo de ejecución y los utensilios de ejecución al origen del código, lo que permite la comprensión contextual y la priorización de riesgos dinámicos.
https://www.youtube.com/watch?v=e2xrjqifdhs
Impacto del mundo auténtico
Los datos cuentan una historia poderosa: al usar la priorización basada en la evidencia, el promedio preocupante de 569,354 alertas totales por ordenamiento se puede estrechar a 11,836de los cuales solo 202 requiere una movimiento inmediata.
Los puntos de remisión de la industria revelan varias ideas secreto:
- Umbrales de ruido consistentes: Los niveles de ruido de vírgula de almohadilla siguen siendo notablemente similares en diferentes entornos, ya sean empresas o comerciales, independientemente de la industria.
- Complejidad de seguridad empresarial: Los entornos empresariales enfrentan desafíos significativamente mayores adecuado a su ecosistema de herramientas más amplio, una viejo presencia de aplicación, un viejo barriguita de eventos de seguridad, incidentes más frecuentes y una exposición militar elevada del peligro.
- Vulnerabilidad del sector financiero: Las instituciones financieras experimentan volúmenes de alerta distintivamente más altos. Su procesamiento de transacciones financieras y datos confidenciales los convierte en objetivos de suspensión valencia. Como indica el documentación de Investigaciones de violación de datos de Verizon, el 95% de los atacantes están motivados principalmente por beneficio financiera en sitio de espionaje u otras razones. La proximidad de las instituciones financieras a los activos monetarios crea oportunidades de ganancias directas para los atacantes.
Los hallazgos tienen implicaciones de prolongado repercusión. Si menos del 95% de las soluciones de seguridad de la aplicación son críticas para la ordenamiento, entonces todas las organizaciones invierten enormes medios en las horas de clasificación, programación y ciberseguridad en vano. Este desperdicio se extiende a los pagos de los programas de pipa de errores, donde los piratas informáticos de sombrero blanco encuentran vulnerabilidades para solucionar, así como los costos de soluciones complicadas para las vulnerabilidades que no se descubrieron temprano y alcanzaron la producción. El costo significativo final es la tensión creada en el interior de las organizaciones entre los equipos de exposición y los equipos de seguridad, que exigen correcciones de vulnerabilidades que no son relevantes.
La detección falló, la priorización es el camino a seguir
A medida que las organizaciones enfrentan 50,000 nuevas vulnerabilidades proyectadas solo en 2025, las apuestas para el triaje de seguridad efectivo nunca han sido más altas. El rancio maniquí de “Detectar todo, arreglar más tarde” no está solo anticuado, es peligroso.
El documentación de Ox Security presenta un caso convincente: el futuro de la seguridad de la aplicación no radica en chocar todas las vulnerabilidad posible sino de identificar y centrarse de modo inteligente en los problemas que plantean un peligro auténtico.
