ناکارآمدی های AppSec هزینه های گزافی را بر شرکت ها وارد می کند

22 مهر 140214 تیر 1402 از TechNewsWorld

این مطالعه شیوه‌ها، ابزارها و نیازهای CISO، مدیران AppSec، و مهندسان AppSec را در سازمان‌های سازمانی با 1000 کارمند یا بیشتر با محیط‌های توسعه‌یافته برنامه‌های بومی ابری بررسی می‌کند. نتایج نشان می‌دهد که 85 درصد از متخصصان AppSec گفته‌اند که توانایی تمایز بین خطرات واقعی و نویز بسیار مهم است. امروز فقط 38 درصد می توانند این کار را انجام دهند.

در ماه مه، ارائه‌دهنده راهکارهای AppSec بومی ابری، Backslash Security، مطالعه‌ای را با عنوان «شکستن چرخه بازگشت: گزارش بررسی الگوی جدید Cloud-Native AppSec» منتشر کرد. این بررسی می کند که چگونه امنیت برنامه از زمان ظهور برنامه های کاربردی بومی ابری تکامل یافته است.

Man معتقد است که مدیریت وضعیت امنیتی برنامه (ASPM) – یک رویکرد امنیتی جدید – به تیم های AppSec کنترل بیشتری می دهد و وضعیت امنیتی برنامه های آنها را بهبود می بخشد.

ابزار ناکافی بومی ابری دلیل اصلی اصطکاک بین تیم های AppSec و توسعه دهندگان است. ابزارهای نسل کنونی AppSec فاقد توانایی گزارش سطح شواهد مورد نیاز برای عملکرد تیم های توسعه دهنده بر روی هشدارها هستند.

AppSec Playing Defense

به گفته محققان، سازمان‌های DevOps بالغ به دلیل فقدان ابزارهای بومی ابری، تأثیر گسترده‌ای را ذکر می‌کنند. تیم‌های AppSec در چرخه‌ای گیر افتاده‌اند و نمی‌توانند با سرعت روزافزون سریع و چابک توسعه‌دهنده و دفاع امنیتی از طریق یک تعقیب آسیب‌پذیری بی‌پایان و غیرمولد همگام شوند.

او افزود که تأثیر “مردم” به ویژه قابل توجه است. نکته اصلی این است که صنعت AppSec برای یک تغییر اساسی آماده است و سزاوار ابزارهایی است که به صراحت برای درک فضای ابری ساخته شده اند.

بر اساس گزارش اخیر امنیت صنعت نرم افزار، افزایش قابل توجهی در تنش بین کارگران امنیت برنامه (AppSec) و توسعه دهندگان برنامه بر سر اجماع در مورد نیازهای بومی ابری وجود دارد. علاوه بر این، نگرانی فزاینده ای در مورد حفظ استعداد توسعه دهندگان در این زمینه وجود دارد.

همراه با حجم عظیمی از موارد مثبت کاذب گزارش شده، تیم های AppSec در نهایت اعتبار خود را در چشم توسعه دهندگان از دست می دهند. هنگامی که در مورد تأثیر کمبود ابزارهای ابری برای این گزارش مورد بررسی قرار گرفت، پاسخ دهندگان اصطکاک رو به رشد AppSec/dev را به عنوان موضوع شماره یک و به دنبال آن حفظ استعدادهای توسعه دهنده و AppSec را ذکر کردند.

خبر خوب؟ تیم‌های AppSec می‌دانند که به چه چیزی نیاز دارند، و متخصصان AppSec به‌طور قاطعانه‌ای با آنچه که یک پارادایم AppSec مدرن و بومی ابری باید به نظر برسد، هماهنگ هستند. با این حال، علی‌رغم این درک، تنها تعداد محدودی از تیم‌ها قابلیت‌های لازم را برای برآورده ساختن مؤثر این الزامات دارند.

مطالعه تأثیر ابزارهای ناکافی Cloud-Native را نشان می دهد

او خاطرنشان کرد: «این شکاف‌های فعالسازی عظیم در سراسر قابلیت‌های اصلی ابری گسترش می‌یابد.

سنجاق برای کاهش تنش

مشکل اساسی در ناکافی بودن ابزارهای سنتی AppSec برای محیط های ابری نهفته است. در نتیجه، تیم‌های AppSec با عواقب کمبود ابزارهای ابری مناسب روزانه دست و پنجه نرم می‌کنند. این وضعیت مستمر باعث اصطکاک تیم، مسائل مربوط به حفظ استعدادها، نگرانی های درآمد، مشاجرات شهرت و اتلاف بیش از نیمی از زمان آنها برای تعقیب آسیب پذیری ها می شود.

اکثریت بزرگی از پاسخ دهندگان (91٪) گفتند که این مهم است. اصطکاک فزاینده ای بین AppSec و توسعه دهندگان به دلیل عدم توافق در مورد ضعف های عمومی کد و آسیب پذیری های حیاتی وجود دارد. علاوه بر این، 82 درصد از پاسخ‌دهندگان اهمیت تجسم سرتاسر مدل‌های تهدید برنامه‌های بومی ابری را برجسته کردند.

فقدان اقدامی که به شکاف دامن می زند

Man اعتراف کرد که یکی از بزرگترین شگفتی‌ها در نتایج، حجم زیاد زمان تلف شده AppSec است که به ابزارهای ناکافی نسبت داده می‌شود. این ناکارآمدی هزینه های زیادی را برای شرکت ها تحمیل می کند.

اندکی کمتر از نیمی از پاسخ دهندگان حداقل یک بار در روز کد فشار سازمان خود را گزارش کردند. سرعت توسعه دهندگان به طور پیوسته در حال افزایش است.

“هزینه بازی دفاعی، با نام مستعار مالیات دفاعی، بسیار زیاد است. تخمین‌های محافظه‌کارانه نشان می‌دهد که میانگین هزینه شرکت برای زمان تلف شده AppSec بیش از 1 میلیون دلار در سال است.

با این اوصاف، متوجه شدیم که متخصصان AppSec با قابلیت‌های بومی ابری که برای روزمره‌شان مهم‌تر است، بسیار هماهنگ هستند. جنبه‌های اصلی AppSec مدرن، همبستگی خودکار خطر AppSec با قرار گرفتن در معرض برنامه‌ها در جهان خارج است.» Man توضیح داد.

تبلیغات

Enlighten - هوش مصنوعی مورد اعتماد برای تجارت

تبلیغات

Enlighten - هوش مصنوعی مورد اعتماد برای تجارت

به عنوان مثال، اکثریت قریب به اتفاق (85٪) از متخصصان AppSec می‌خواهند خطرات کد واقعی را از مسائل کم خطر متمایز کنند و آن را به مهم‌ترین قابلیت بومی ابری تبدیل کنند. اما تنها 38٪ به طور کامل قادر به انجام این کار با استفاده از مجموعه ابزار فعلی خود هستند.

به عنوان مثال، 78٪ از پاسخ دهندگان گفتند که ارتباط یافته های امنیتی با تیم توسعه دهنده مسئول تعمیر ضروری است. اما اکنون فقط 43 درصد به طور کامل قادر به انجام این کار هستند.

تیم‌ها در حال از دست دادن ایمان خود به ابزارهای سنتی AppSec هستند، زیرا آنها نمی‌توانند ادامه دهند و در یک بازی همیشگی گیر افتاده‌اند. این تاثیر گسترده است و اکثریت قریب به اتفاق سازمان ها تاثیر گسترده ابزارهای AppSec ناکافی بومی ابری را می بینند.

شایان ذکر است، در حالی که 58 درصد از پاسخ دهندگان گزارش می دهند که بیش از 50 درصد از زمان خود را صرف تعقیب آسیب پذیری می کنند، 89 درصد تکان دهنده حداقل 25 درصد از زمان خود را در این حالت تدافعی سپری می کنند. همه و همه، شرکت ها قربانی این مالیات دفاعی پرهزینه هستند.

این تخمین بر اساس میانگین حقوق کارکنان AppSec و اندازه تیم AppSec است. Man اضافه کرد که این محاسبه هزینه ایمن سازی ناکافی برنامه های کاربردی شرکت داده شده را در نظر نمی گیرد.

نکات کلیدی جهت بازار جدید را نشان می دهد

او پیشنهاد کرد که یک مشکل مهم این است که ابزار آنها قدیمی است. آنها فاقد زمینه ابری حیاتی برای قادر ساختن تیم های AppSec برای انجام موفقیت آمیز وظایف خود هستند. علاوه بر این، ابزارهای امنیتی برنامه فعلی با ایجاد تعداد بیش از حد هشدارهای کم ارزش، مشکل را تشدید می کنند.

همچنین، به گفته Man، نکته قابل توجه، وجود قابلیت‌های بومی ابری از دست رفته است که AppSec و dev را قادر می‌سازد تا به خوبی با هم کار کنند. نظرسنجی فاش کرد که آنها به طور مشخص کمبود دارند.

Man اضافه کرد که یکی از چیزهایی که تیم‌های AppSec بیش از همه می‌خواهند این است که با همتایان توسعه‌دهنده خود به خوبی کار کنند – نگرانی اصلی که در طول نظرسنجی مطرح شد. هر نقش AppSec دیدگاه خاص خود را در مورد چگونگی تأثیر فقدان ابزارهای بومی ابری بر اصطکاک فزاینده بین روابط AppSec/devs دارد.

این مطالعه نشان داد که تریاژ کارآمد بین Dev و AppSec در 73% در مقابل 42% مشابه است.

عواقب پرهزینه

Man تاکید کرد که تیم‌های AppSec باید به ابزارهای مدرن و بومی ابری مجهز شوند. رایج ترین شکایات در مورد ابزارهای فعلی AppSec که در اختیار دارند جای تعجب نیست. کارگران AppSec ادعا می کنند که ابزارهای سنتی آنها پر سر و صدا هستند و اولویت بندی یافته ها را بسیار وقت گیر می کنند.

به اصطلاح مالیات، که تخمین زده می شود سالانه بیش از 1.2 میلیون دلار باشد، هزینه به کارگیری مهندسان AppSec است که به جای اجرای برنامه جامع AppSec بومی ابری، آسیب پذیری ها را تعقیب می کنند. Man شکایت کرد که تیم‌های امنیتی برنامه در تلاش هستند تا با تیم‌های توسعه سریع‌تر که به سرعت در حال استقرار کد در فضای ابری هستند، عقب نمانند.

Man به چالش کشید: «به وضوح، تیم‌های AppSec می‌دانند که به چه چیزی نیاز دارند، اما سؤال بزرگتر این است که آیا صنعت آماده است تا آن را به آنها بدهد یا خیر.

به عنوان مثال، مهندسان AppSec روز خود را بسیار در سنگر می گذرانند. آنها بیشتر نگران حفظ استعدادهای توسعه دهنده هستند. اما مدیران آنها بیشتر نگران حفظ استعدادهای AppSec هستند. در همین حال، CISO ها با دیدگاه سطح بالای خود از هر دو طرف معادله، نگران اصطکاک بین دو تیم هستند.

در نهایت، یک طرز فکر جدید وجود دارد که دیدگاهی جامع از وضعیت امنیتی برنامه ارائه می‌کند و به AppSec اجازه می‌دهد تا تعادلی بین ذهنیت «تغییر به چپ» و داشتن قدرت شناسایی و کاهش آسیب‌پذیری‌ها قبل از سوءاستفاده ایجاد کند. مرد.

منبع