根据Ox Security发布的《2025年应用安全基准报告》,由自动化工具生成的海量安全警报正令安全和开发团队不堪重负。该报告分析了178家组织在90天(2024年第四季度)内产生的1.01亿条应用安全检测结果,数据显示仅有2-5%的安全警报需要立即处理,而企业仍在剩余95%的非关键问题上浪费宝贵资源。
企业平均需要处理569,354条安全警报,但通过基于上下文分析的优先级排序,这一数字可缩减至11,836条,其中真正关键的问题仅占202条。报告揭示了一个严峻现实:尽管绝大多数警报属于低风险范畴,安全团队仍耗费大量精力处理非实质性威胁,导致真正的安全风险可能被忽视。
近年来应用安全漏洞数量激增。公开漏洞数据库CVE显示,2015年仅记录6,494个漏洞,而2024年达到40,291个,使得已知漏洞总量逼近20万大关。事件响应与安全团队论坛(FIRST)预测,2025年将新增4.1万至5万个漏洞。这种增长趋势与软件开发周期缩短的压力叠加,使得安全团队疲于应对。
安全工具虽然擅长发现问题,但产生的海量警报导致"警报疲劳"现象。开发团队在早期阶段(修复成本最低时)往往无暇处理这些漏洞,形成恶性循环。更棘手的是,现有扫描器难以区分真正的安全漏洞与普通编码缺陷。
在所有问题中,约1.71%(36,000个)被列为"已知已利用漏洞"(KEV)。这些由美国网络安全与基础设施安全局(CISA)维护的漏洞清单,记录着已被实际利用的高危漏洞,其修复优先级理应最高。特别值得注意的是,金融机构的警报量比平均水平高出55%,由于其涉及金融交易和敏感数据,自然成为攻击者的高价值目标。
原文始发于微信公众号(FreeBuf):最新报告:仅2-5%的应用安全警报需立即处置
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论