Ваша SAST Сканер выявил 847 проблем в этом спринте. Ваш SCA Инструмент добавил еще 312 уязвимостей. Ваш сканер секретов обнаружил 43 потенциальные уязвимости в четырех репозиториях. И где-то среди этой кучи из более чем 1,200 обнаруженных уязвимостей находится критическая уязвимость, которая активно используется злоумышленниками прямо сейчас. Это усталость от оповещений в сфере безопасности приложений. И это не проблема обнаружения.
У большинства команд проблема не в обнаружении, а в расстановке приоритетов. Без контекста каждое оповещение выглядит одинаково срочным, поэтому ни одно из них не кажется достаточно срочным, чтобы реагировать немедленно.
Именно в этом разрыве между обнаружением и определением приоритетов и ускользают реальные угрозы.
В этом руководстве подробно разбираются причины возникновения усталости от оповещений, ее стоимость и конкретные методы, позволяющие снизить ее без снижения уровня безопасности.
Что такое усталость от оповещений AppSec (и почему она усугубляется)?
Усталость от оповещений в сфере безопасности приложений — это состояние, когда команды безопасности и разработки настолько перегружены объемом обнаруженных угроз, что их способность эффективно реагировать снижается. Когда все помечено как «критическое», ничто не кажется срочным. Реальные угрозы теряются под шумом.
Масштаб проблемы значителен. Согласно Отчет Cypress Data Defense о состоянии безопасности приложений в 2025 году62% руководителей служб безопасности сознательно выпускали уязвимые приложения, чтобы уложиться в сроки, не потому что они не знали об уязвимостях, а потому что не могли достаточно быстро отреагировать на них и принять меры. Отчет о состоянии рынка AI SOC до 2025 года По оценкам, средний объем оповещений для организаций среднего размера составляет 960 в день, а в некоторых случаях может достигать 3,000 и более. enterpriseболее 20,000 сотрудников.
Проблема безопасности приложений усугубляется тремя структурными факторами:
Распространение инструментов. Группы безопасности, использующие множество отдельных инструментов, не имеют общего контекста между собой. «Критически важный» в вашем случае SCA инструмент и «критически важный» в вашем IaC Сканеры попадают в один и тот же список невыполненных задач без какой-либо корреляции. Согласно Отчет Devo «Эволюция к системе SOC без оповещений» за 2025 год83% специалистов SOC перегружены большим количеством оповещений, ложными срабатываниями и отсутствием контекста оповещений, а 84% организаций сообщают, что аналитики, сами того не подозревая, расследуют одни и те же инциденты несколько раз в месяц.
Приоритизация по CVSS в первую очередь. Оценка CVSS измеряет серьезность уязвимости, а не вероятность ее эксплуатации. Уязвимость с рейтингом CVE 9.8 (критическая) может иметь практически нулевую вероятность стать целью атаки в течение следующих 30 дней. Устранение уязвимости до того, как она будет активно использоваться в качестве оружия в киберпространстве (CVE 6.5), приводит к пустой трате времени инженеров и создает ложное ощущение прогресса.
Контекст выполнения отсутствует. Уязвимость в зависимости представляет собой совершенно иной риск в зависимости от того, доступна ли эта зависимость из интернета или работает во внутреннем инструменте разработки, вызывается ли уязвимая функция фактически, а не импортируется, но не используется, или если в среде уже существуют компенсирующие меры контроля. Инструменты, которые не учитывают этот контекст, выдают одно и то же «критическое» предупреждение независимо от контекста.
Результат: До 53% оповещений о нарушениях безопасности являются ложными срабатываниями.Согласно отчету Devo SOC Performance Report за 2024 год, инженерные команды учатся игнорировать информационный шум, и реальные угрозы ускользают от их внимания.
Реальная цена усталости от постоянного напряжения
Усталость от постоянной тревоги — это не неудобство. Это прямой путь к нарушению безопасности.
Когда аналитики перегружены, они вырабатывают механизмы преодоления трудностей: сортировка задач на основе серьезности проблем, выявленных инструментами, вместо оценки реального риска, откладывание решения на неопределенный срок, закрытие оповещений как «не подлежат исправлению» для очистки списка невыполненных задач или просто остановка для просмотра очереди. Тот же отчет Devo подтверждает, что 84% аналитиков организаций неосознанно дублируют усилия по расследованию, что является прямым следствием фрагментированного набора инструментов без уровня корреляции.
Последствия для последующих событий:
- Накапливается задолженность по ценным бумагам. Каждое отложенное обнаружение представляет собой уязвимость, которая остается открытой, пока злоумышленники активно сканируют систему в поисках её.
- Разработчики не доверяют этим инструментам.Когда инструменты безопасности постоянно выдают ложные срабатывания, разработчики перестают рассматривать полученные данные как действенные. «Волки безопасности» становятся культурной проблемой, которую трудно исправить.
- Среднее время, необходимое для устранения последствий загрязнения, увеличивается. IBM, 2025 Стоимость отчета о нарушении данных По оценкам, средняя глобальная стоимость утечки данных составляет 4.4 млн долларов, при этом снижение на 9% по сравнению с предыдущим годом объясняется именно более быстрым выявлением и локализацией инцидентов благодаря искусственному интеллекту. Команды, работающие в условиях усталости от оповещений, теряют именно это преимущество.
- Выгорание в команде. Исследование рабочей силы в области кибербезопасности ISC2025, 2 г.Исследование, основанное на опросе 16 029 специалистов по кибербезопасности со всего мира, показало, что 48% из них чувствуют себя истощенными, пытаясь оставаться в курсе угроз и новых технологий, а 47% сообщают о чувстве перегруженности работой.
Что меняется при добавлении контекста?
Большинство программ обеспечения безопасности приложений терпят неудачу на одном и том же этапе: между обнаружением и приоритизацией. Сканеры обнаруживают всё. Ничто не подсказывает, что нужно исправить в первую очередь.
Именно на этом Xygeni и сосредотачивает свой дизайн, и это разница между командой, утопающей в оповещениях, и командой, работающей с очередью, где каждое обнаруженное событие заслуживает внимания.
| Без контекста | С Xygeni | |
|---|---|---|
| Громкость оповещения | Тысячи в неделю | Свести к тому, что можно предпринять на практике. |
| Приоритетность | только степень тяжести CVSS | EPSS + доступность + влияние на бизнес |
| Сортировка | Ручной режим, для каждого инструмента | Автоматизированный, унифицированный подход ко всем инструментам. |
| Ложноположительный | До 52% результатов | Они проходят фильтрацию до того, как попадут в очередь. |
| Результат | Шум, который игнорируют инженеры | Инженеры по сигнализации действуют в |
Усталость от оповещений AppSec Pipeline: Где команды терпят неудачу
Большинство команд терпят неудачу на одном и том же этапе. Не на этапе обнаружения, их инструменты обнаруживают множество уязвимостей. А в промежутке между обнаружением и дезактивацией.cision, на который может отреагировать разработчик.
Обнаружение → Корреляция → Приоритизация → Исправление → Мониторинг
На каждом этапе слева от «Приоритизации» уже имеются эффективные инструменты. На каждом этапе справа полученные результаты либо преобразуются в исправления, либо попадают в список невыполненных задач. Узкое место всегда находится посередине: корреляция и приоритизация без контекста — это просто перестановка шума.
Пять описанных ниже методов охватывают каждый этап этого процесса. pipeline непосредственно.
Пять методов снижения усталости от оповещений AppSec
1. Заменить приоритезацию только по CVSS на EPSS + доступность.
Теоретически, CVSS показывает, насколько серьёзна уязвимость. Однако он не говорит о том, действительно ли кто-то её использует или же ваше приложение подвержено уязвимости.
EPSS (система оценки прогнозирования эксплойтов)Сервис, поддерживаемый FIRST, ежедневно предоставляет оценку вероятности использования каждой уязвимости CVE: насколько вероятно, что эта уязвимость будет использована злоумышленниками в течение следующих 30 дней? Данные общедоступны через API и обновляются ежедневно на основе реальной информации об угрозах.
Влияние на количество оповещений существенное. Согласно собственные модельные данные FIRSTСтратегия устранения уязвимостей уровня CVSS 7+ требует усилий для 57.4% всех CVE, чтобы выявить 82% эксплуатируемых уязвимостей. Стратегия на основе EPSS (пороговое значение 0.1) обеспечивает 63% охвата при усилиях всего в 2.7%, поскольку она фокусируется на тех CVE, которые действительно являются целью злоумышленников.
Анализ достижимости еще больше усугубляет ситуацию. Анализируя, вызывается ли уязвимая функция в зависимости на самом деле в пути выполнения вашего кода, фильтрация по достижимости сама по себе может уменьшить SCA Результаты исследований улучшаются до 80% без снижения уровня реального риска.
В совокупности EPSS + доступность означает, что в вашей очереди отображаются 1-2% запросов, действительно требующих немедленных действий, а не теоретические 57%.
Ксигени SCA Эта функция сочетает анализ достижимости на уровне функций с оценкой EPSS в реальном времени, автоматически снижая приоритет результатов, которые недостижимы в вашем коде или имеют почти нулевую вероятность эксплуатации. Воронки приоритезации открытого программного обеспечения Примените прогрессивный фильтр по степени серьезности уязвимости, возможности эксплуатации, доступности и влиянию на бизнес, чтобы очередь, которую видит ваша команда, содержала только те результаты, которые заслуживают внимания специалиста.cisион. Посмотрите, как это работает →
2. Объединить результаты анализа, полученные с помощью различных инструментов, в единое представление о рисках.
Разрозненные инструменты являются одной из основных причин усталости от оповещений в сфере безопасности приложений. Когда SAST Результаты исследований находятся в одном месте. dashboard, SCA в другом, и IaC Неправильные настройки в третьей системе не позволяют установить между ними взаимосвязь, отсутствует единая модель оценки серьезности проблем и нет единого понимания реального уровня риска.
Application Security Posture Management (ASPM) Эта проблема решается за счет выполнения функции уровня корреляции и приоритизации между всеми вашими инструментами безопасности. ASPM обрабатывает результаты ваших исследований SAST, SCAсканеры секретов, IaC Затем DAST, используя различные инструменты, устраняет дубликаты результатов, полученных с помощью нескольких инструментов, сообщающих об одной и той же проблеме, сопоставляет результаты, полученные с помощью разных инструментов, для выявления комплексных рисков (уязвимая зависимость плюс раскрытый секрет в одном и том же сервисе) и применяет единый бизнес-контекст, указывая, какой сервис доступен из интернета, какой обрабатывает конфиденциальные данные, что находится в производственной среде, а что — на тестовом сервере.
Контекстная приоритизация посредством ASPM Сокращает количество ненужного шума до 90%, оставляя командам приоритетную очередь задач, а не список.
Xygeni ASPM Также обрабатывает данные из сторонних инструментов. Если у вас уже есть результаты от OWASP ZAP, Acunetix, TruffleHog или Trivy, Xygeni нормализует и сопоставляет их в единое представление рисков вместе со своими собственными результатами сканирования. Вам не нужно заменять существующий набор инструментов, чтобы получить единую картину, вы начинаете получать значение корреляции с первого дня. Полный список Список поддерживаемых внешних сканеров можно найти здесь..
3. Добавляйте бизнес-контекст к каждому полученному результату.
Критическая уязвимость во внутренней тестовой среде и критическая уязвимость в платежном сервисе, доступном из интернета, — это не один и тот же риск. CVSS не различает их. Ваша система приоритезации должна это понимать.
Факторы бизнес-контекста, которые должны определять приоритетность каждого вывода:
- воздействие ИнтернетаДоступен ли затронутый сервис из общедоступного интернета? Уязвимость, доступная из интернета, имеет значительно больший радиус поражения.
- Конфиденциальность данныхОбрабатывает ли этот сервис персональные данные, финансовую информацию или учетные данные? Повышенная конфиденциальность данных увеличивает стоимость утечки.
- Производство против непроизводстваУязвимости в производственных системах требуют более быстрого устранения в соответствии с соглашениями об уровне обслуживания (SLA), чем в системах разработки или тестирования.
- Критичность активовЭто основная платежная услуга или второстепенный внутренний инструмент? Контекст деловой ценности влияет на срочность.
- Компенсирующие элементы управления: Снижают ли существующие меры контроля (правила WAF, сегментация сети, ограничения доступа) уже на практике возможность использования этого открытия в корыстных целях?
Когда эти параметры включены в вашу модель приоритезации, «критический» перестает означать «этот сканер оценил его на 9.8» и начинает означать «это уязвимо, доступно, находится в сети Интернет, используется в производственной среде и обрабатывает данные клиентов».
4. Сдвигайте обратную связь влево: предоставляйте разработчикам результаты в нужный момент.
Значительная часть случаев «усталости от оповещений по безопасности приложений» вызвана переключением контекста. Разработчик, выпустивший код три недели назад, а теперь получающий уведомление о проблеме безопасности в тикете, потерял из виду контекст этого кода. Обработка запросов занимает больше времени, увеличивается количество ложных срабатываний, а качество исправлений снижается.
Перенос обратной связи по безопасности в левую часть процесса, в среду разработки и на этап проверки запросов на слияние, решает эту проблему на первоисточнике. Разработчики видят результаты, пока код еще находится в их рабочей памяти. Количество ложных срабатываний снижается, поскольку разработчики могут немедленно оценить, действительно ли отмеченный шаблон представляет собой проблему в их коде. Качество исправлений улучшается, поскольку разработчик понимает контекст. Среднее время устранения проблемы сокращается, поскольку нет необходимости передавать запрос в отдельную очередь безопасности.
Практическая реализация: плагины для IDE, которые предоставляют доступ к информации. SAST Результаты вводятся непосредственно в код по мере его написания, запросы на слияние проверяют, что слияние проходит при обнаружении новых критически важных результатов, и pipeline политики, блокирующие развертывание секретов или уязвимых зависимостей до того, как они попадут в производственную среду.
Xygeni DevAI Функция обнаружения уязвимостей безопасности отображается непосредственно в среде разработки, а сгенерированные ИИ предложения по исправлению проверяются на соответствие политикам вашей организации, что позволяет разработчикам исправлять проблемы до того, как они станут актуальными. pipelineне после начала производства. → Подробнее
5. Автоматизация сортировки результатов обследования с низким риском.
Не каждое обнаруженное нарушение требует проверки человеком. Уязвимость в тестовой зависимости, которая никогда не развертывается в продакшене, секрет в репозитории, который был обновлен полгода назад, неправильная конфигурация в среде разработки без внешнего доступа — все это результаты, которые отнимают время на сортировку, не приводя к существенному снижению рисков.
Определите четкие правила автоматической сортировки: автоматически подавлять результаты в тестовых/разработческих средах ниже настраиваемого порогового значения серьезности, автоматически закрывать секреты, которые уже были отозваны или ротированы, снижать приоритет (а не игнорировать) результатов в зависимостях, где анализ достижимости подтверждает, что уязвимый путь кода не вызывается, и подавлять известные ложные срабатывания с документированным обоснованием.
Ключевой момент: правила автоматической сортировки должны быть проверяемыми и регулярно пересматриваться. Фраза «Мы это скрыли» приемлема только в том случае, если вы можете показать, что именно вы скрыли, почему и когда.cision был в последний раз проверен. Массовое подавление для очистки очереди — вот почему реальные уязвимости остаются незамеченными.
Измерение уровня усталости от оповещений AppSec: три показателя, за которыми стоит следить.
Нельзя уменьшить то, что не измеряешь. Эти три показателя дают вам отправную точку и способ отслеживать улучшения:
Отношение сигнал / шумКакой процент ваших оповещений приводит к принятию мер (исправлению проблемы), а какой закрывается как ложное срабатывание, неисправимость или дубликат? Эффективная программа безопасности приложений должна обеспечивать более 40% таких оповещений. Если этот показатель ниже 20%, значит, ваши инструменты генерируют больше шума, чем полезной информации.
Среднее время до сортировки пациентов (MTTT)Сколько времени проходит от момента получения результатов исследования до принятия решения человеком?cisИон? Длительное время отклика (MTTT) часто указывает либо на слишком большой объем данных, либо на недостаток контекста в самом оповещении.
Среднее время до устранения загрязнения (MTTR) для критических выводовВ частности, если ваша команда считает обнаруженные уязвимости приоритетными, сколько времени проходит от момента обнаружения до устранения? Это показатель, напрямую коррелирующий с риском утечки данных.
Как Xygeni решает проблему усталости от оповещений AppSec на всех этапах.
Именно здесь большинство программ обеспечения безопасности приложений терпят неудачу. И именно на этом компания Xygeni сосредотачивает свои разработки.
Усталость от оповещений AppSec — это проблема платформы. Точечные инструменты генерируют информационный шум, поскольку им не хватает контекста. Контекст требует сопоставления между инструментами, сигналов во время выполнения, данных о влиянии на бизнес и информации об уязвимостях, а для этого необходима единая платформа.
| Проблема | Возможности Xygeni | Влияние |
|---|---|---|
| Чрезмерная приоритезация, вызванная CVSS | SCA с использованием системы оценки EPSS + доступность | Уменьшает SCA очередь увеличилась до 80% |
| Результаты, полученные с помощью различных инструментов, фрагментарны. | ASPM с межслойной корреляцией | Снижение шума до 90% |
| Отсутствие делового контекста | Инвентаризация активов + определение критичности | Результаты ранжированы по реальному влиянию на бизнес. |
| переключение контекста разработчика | Интеграция с DevAI IDE | Исправления в процессе написания кода, а не на этапе создания заявки. |
| Ручная сортировка результатов с низким риском | Автоматизированные политики + правила автоматической сортировки | Инженеры сосредотачиваются только на деcisионы, имеющие значение |
| Ложные срабатывания от SAST | Продажи SAST с 16.7% FPR | Лучшие в отрасли предварительные сигналыcisион |
Ксигени SAST сравнивался с Тест OWASP и достигли 100% истинно положительных результатов по всем основным категориям уязвимости при уровне ложноположительных результатов 16.7%. Меньшее количество ложноположительных результатов на источнике означает меньший уровень шума во всей системе. pipeline.
Заключение
Усталость от оповещений — это не признак того, что ваша команда терпит неудачу. Это признак того, что ваши инструменты генерируют больше шума, чем полезной информации, и это решаемая проблема.
Команды, которым удаётся выбраться из этой ситуации, делают это не за счёт более жёсткой сортировки задач. Они добиваются этого, совершенствуя свою модель приоритезации: добавляя EPSS и доступность к... SCAобъединяя результаты исследований посредством ASPMвнедрение контекста в каждое оповещение и смещение обратной связи влево, чтобы разработчики могли исправлять проблемы до того, как они накапливаются в списке невыполненных задач.
Цель состоит не в уменьшении количества оповещений. Это очередь, где каждое сохранившееся оповещение представляет собой реальный риск, заслуживающий внимания человека.cisион.
👉 Начните бесплатный пробный период и сосредоточьтесь только на рисках, которые имеют значение.Результаты сканирования за считанные минуты, кредитная карта не требуется.
👉 Забукировать демо и посмотреть, как ASPM соответствует вашему конкретному набору инструментов и структуре команды.
Об авторе
Соучредитель и технический директор
Фатима Said специализируется на создании контента, ориентированного на разработчиков, в области безопасности приложений, DevSecOps и... software supply chain securityОна преобразует сложные сигналы безопасности в четкие, действенные рекомендации, которые помогают командам быстрее расставлять приоритеты, уменьшать информационный шум и создавать более безопасный код.
