Durante más de una decenio, los equipos de seguridad de aplicaciones se han enfrentado a una ironía extraordinario: cuanto más avanzadas se volvieron las herramientas de detección, menos avíos son sus resultados. A medida que aumentaron las alertas de herramientas de disección estáticas, escáneres y bases de datos CVE, la promesa de una mejor seguridad se volvió más distante. En su emplazamiento, una nueva existencia se apoderó, una definida por la sofoco alerta y los equipos abrumados.
Según el crónica de narración de seguridad de aplicaciones de aplicaciones 2025 de Ox Security, un asombroso El 95–98% de las alertas de APPSEC no requieren hecho – Y puede, de hecho, dañar a las organizaciones más que ayudar.
Nuestra investigación, que alpargata más de 101 millones de hallazgos de seguridad en 178 organizaciones, le destaca una ineficiencia fundamental en las operaciones modernas de APPSEC. De casi 570,000 alertas promedio por estructura, solo 202 representaron temas verdaderos y críticos.
Es una conclusión sorprendente que es difícil de ignorar: los equipos de seguridad están persiguiendo sombras, perdiendo el tiempo, quemando los presupuestos y las relaciones con los desarrolladores sobre las vulnerabilidades que no representan una amenaza auténtico. La peor parte de ella es que la seguridad se interpone en el camino de la innovación auténtico. Como Chris Hughes lo pone Cibernético resistente: «Hacemos todo esto mientras nos disfrazamos como habilitadores comerciales, enterrando activamente a nuestros compañeros en el trabajo, retrasando la velocidad del avance y, en última instancia, impiden los resultados comerciales.
Cómo llegamos aquí: montañas de problemas, contexto cero
En 2015, el desafío de seguridad de la aplicación fue más simple. Ese año, solo 6.494 CVE fueron revelados públicamente. La detección era el rey. Las herramientas se midieron por cuántos problemas encontraron, no si importaban.
Avance rápido hasta 2025: las aplicaciones fueron nativas en la nubarrón, los ciclos de avance acelerados y las superficies de ataque se dispararon. En el año pasado, se publicaron más de 40,000 nuevos CVE, lo que elevó el total mundial a más de 200,000. Sin incautación, a pesar de estos cambios importantes, muchas herramientas de APPSEC no han podido cambiar: se han duplicado en la detección, inundando paneles con alertas sin contexto sin filtro.
El punto de narración de Ox confirma lo que los practicantes han sospechado durante mucho tiempo:
- 32% de los problemas informados tienen una desaparecido probabilidad de explotación
- 25% No se ha conocido la exploit pública
- 25% provecho de dependencias no utilizadas o de solo avance
Esta inundación de hallazgos irrelevantes no solo ralentiza la seguridad, sino que la perjudica activamente.
Si aceptablemente la mayoría de las alertas se pueden ignorar, es esencial identificar con precisión el 2-5% que requiere atención inmediata. El crónica muestra que estas alertas raras generalmente implican problemas de KEV, problemas de mandato de secretos y, en algunos casos, problemas de mandato de postura.
La condición de un enfoque de priorización holística
Para combatir este espíritu de tropiezo, las organizaciones deben adoptar un enfoque más sofisticado para la seguridad de la aplicación, basado en la priorización impulsada por la evidencia. Esto requiere un cambio del manejo genérico de alerta a un maniquí integral que cubre el código desde las etapas de diseño hasta el tiempo de ejecución, e incluye múltiples instrumentos:
- Accesibilidad: ¿Se utiliza el código frágil y es accesible?
- Explotabilidad: ¿Están presentes las condiciones para la explotación en este entorno?
- Impacto comercial: ¿Una violación aquí causaría daños reales?
- Mapeo de nubes a código: ¿En qué parte del SDLC se originó este problema?
Al implementar dicho ámbito, las organizaciones pueden filtrar de guisa efectiva el ruido y iluminar sus esfuerzos en el pequeño porcentaje de alertas que representan una amenaza genuina. Esto mejoramiento la efectividad de la seguridad, libera medios valiosos y permite prácticas de avance más seguras.
La seguridad de OX está abordando este desafío con la proyección de código, una tecnología de seguridad basada en evidencia que mapea los instrumentos de tiempo de ejecución y los instrumentos de ejecución al origen del código, lo que permite la comprensión contextual y la priorización de riesgos dinámicos.
https://www.youtube.com/watch?v=e2xrjqifdhs
Impacto del mundo auténtico
Los datos cuentan una historia poderosa: al usar la priorización basada en la evidencia, el promedio amenazador de 569,354 alertas totales por estructura se puede estrechar a 11,836de los cuales solo 202 requiere una hecho inmediata.
Los puntos de narración de la industria revelan varias ideas esencia:
- Umbrales de ruido consistentes: Los niveles de ruido de límite de cojín siguen siendo notablemente similares en diferentes entornos, ya sean empresas o comerciales, independientemente de la industria.
- Complejidad de seguridad empresarial: Los entornos empresariales enfrentan desafíos significativamente mayores adecuado a su ecosistema de herramientas más amplio, una viejo presencia de aplicación, un viejo pandeo de eventos de seguridad, incidentes más frecuentes y una exposición normal elevada del aventura.
- Vulnerabilidad del sector financiero: Las instituciones financieras experimentan volúmenes de alerta distintivamente más altos. Su procesamiento de transacciones financieras y datos confidenciales los convierte en objetivos de suspensión valencia. Como indica el crónica de Investigaciones de violación de datos de Verizon, el 95% de los atacantes están motivados principalmente por fruto financiera en emplazamiento de espionaje u otras razones. La proximidad de las instituciones financieras a los activos monetarios crea oportunidades de ganancias directas para los atacantes.
Los hallazgos tienen implicaciones de abundante resonancia. Si menos del 95% de las soluciones de seguridad de la aplicación son críticas para la estructura, entonces todas las organizaciones invierten enormes medios en las horas de clasificación, programación y ciberseguridad en vano. Este desperdicio se extiende a los pagos de los programas de ranura de errores, donde los piratas informáticos de sombrero blanco encuentran vulnerabilidades para solucionar, así como los costos de soluciones complicadas para las vulnerabilidades que no se descubrieron temprano y alcanzaron la producción. El costo significativo final es la tensión creada adentro de las organizaciones entre los equipos de avance y los equipos de seguridad, que exigen correcciones de vulnerabilidades que no son relevantes.
La detección falló, la priorización es el camino a seguir
A medida que las organizaciones enfrentan 50,000 nuevas vulnerabilidades proyectadas solo en 2025, las apuestas para el triaje de seguridad efectivo nunca han sido más altas. El remoto maniquí de «Detectar todo, arreglar más tarde» no está solo anticuado, es peligroso.
El crónica de Ox Security presenta un caso convincente: el futuro de la seguridad de la aplicación no radica en encarar todas las vulnerabilidad posible sino de identificar y centrarse de guisa inteligente en los problemas que plantean un aventura auténtico.
