Raport dotyczący bezpieczeństwa aplikacji

Raport „State of Modern Application & AI Security 2026” opracowany przez Cloud Security Alliance i Miggo Security ukazuje niepokojącą rzeczywistość dla współczesnych programów bezpieczeństwa aplikacji.

Organizacje znacznie lepiej radzą sobie z wykrywaniem luk w zabezpieczeniach na wcześniejszych etapach cyklu życia aplikacji, ale to właśnie w środowisku produkcyjnym ryzyko przekształca się w rzeczywiste incydenty. Raport opiera się na 902 odpowiedziach specjalistów z branży IT i bezpieczeństwa i skupia się na wykrywaniu, ustalaniu priorytetów, usuwaniu luk oraz kontrolach środowiska uruchomionego w nowoczesnych aplikacjach i komponentach opartych na sztucznej inteligencji.

Foto: Freepik

Niektóre wyniki są, szczerze mówiąc, dość niepokojące.

➡️ 80% organizacji doświadczyło w ciągu ostatnich 12 miesięcy co najmniej jednego incydentu związanego z bezpieczeństwem aplikacji, który dotyczył luki znanej już zespołowi ds. bezpieczeństwa.

➡️ 36% doświadczyło takich incydentów wielokrotnie, a 44% przynajmniej raz.

➡️ W przypadku krytycznych i wysokich luk w zabezpieczeniach w środowisku produkcyjnym tylko 9% organizacji usuwa je w mniej niż 24 godziny. 39% potrzebuje 1–3 dni, 35% potrzebuje 4–7 dni, a 16% potrzebuje 8–30 dni.

Oczywiście powinniśmy zachować ostrożność w przypadku wskaźników „krytycznych/wysokich”. Jeśli poziom zagrożenia opiera się wyłącznie na skali CVSS, bez uwzględnienia możliwości wykorzystania luki, jej zasięgu, narażenia, środków zaradczych i kontekstu biznesowego, wynik może nie być w pełni wiarygodny.

➡️ Kolejne interesujące i niepokojące odkrycie: 45% organizacji zgłosiło incydenty w środowisku produkcyjnym związane z lukami, które zostały zidentyfikowane przed wydaniem, ale mimo to trafiły do środowiska produkcyjnego. Kolejne 46% stwierdziło, że problem nie został w ogóle zidentyfikowany przed wdrożeniem do produkcji.

Raport wskazuje również, dlaczego działania naprawcze są opóźniane. Do głównych przyczyn należą: ryzyko zakłócenia działania aplikacji lub operacji biznesowych, brak zgody co do istotności lub możliwości wykorzystania luki, ograniczenia związane z zarządzaniem zmianami oraz brak kontekstu środowiska produkcyjnego niezbędnego do bezpiecznej oceny skutków.

➡️ 54% respondentów stwierdziło, że ich największym wyzwaniem jest odróżnienie rzeczywistych zagrożeń od wykrytych luk, których nie da się wykorzystać lub które wiążą się z niskim ryzykiem, podczas gdy tylko 4% wskazało na ograniczenia kadrowe lub brak odpowiednich umiejętności.

➡️ 70% organizacji już korzysta z komponentów aplikacji opartych na sztucznej inteligencji w środowisku produkcyjnym, ale tylko 18% ma wgląd w ich zachowanie w czasie rzeczywistym. 50% polega głównie na możliwości audytu po wystąpieniu incydentu, a 28% posiada jedynie częściowe lub niekompletne logowanie.

Link

Autor: Sebastian Burgemejster