این مطالعه شیوهها، ابزارها و نیازهای CISO، مدیران AppSec، و مهندسان AppSec را در سازمانهای سازمانی با 1000 کارمند یا بیشتر با محیطهای توسعهیافته برنامههای بومی ابری بررسی میکند. نتایج نشان میدهد که 85 درصد از متخصصان AppSec گفتهاند که توانایی تمایز بین خطرات واقعی و نویز بسیار مهم است. امروز فقط 38 درصد می توانند این کار را انجام دهند.
در ماه مه، ارائهدهنده راهکارهای AppSec بومی ابری، Backslash Security، مطالعهای را با عنوان «شکستن چرخه بازگشت: گزارش بررسی الگوی جدید Cloud-Native AppSec» منتشر کرد. این بررسی می کند که چگونه امنیت برنامه از زمان ظهور برنامه های کاربردی بومی ابری تکامل یافته است.
Man معتقد است که مدیریت وضعیت امنیتی برنامه (ASPM) – یک رویکرد امنیتی جدید – به تیم های AppSec کنترل بیشتری می دهد و وضعیت امنیتی برنامه های آنها را بهبود می بخشد.
ابزار ناکافی بومی ابری دلیل اصلی اصطکاک بین تیم های AppSec و توسعه دهندگان است. ابزارهای نسل کنونی AppSec فاقد توانایی گزارش سطح شواهد مورد نیاز برای عملکرد تیم های توسعه دهنده بر روی هشدارها هستند.
AppSec Playing Defense
به گفته محققان، سازمانهای DevOps بالغ به دلیل فقدان ابزارهای بومی ابری، تأثیر گستردهای را ذکر میکنند. تیمهای AppSec در چرخهای گیر افتادهاند و نمیتوانند با سرعت روزافزون سریع و چابک توسعهدهنده و دفاع امنیتی از طریق یک تعقیب آسیبپذیری بیپایان و غیرمولد همگام شوند.
او افزود که تأثیر “مردم” به ویژه قابل توجه است. نکته اصلی این است که صنعت AppSec برای یک تغییر اساسی آماده است و سزاوار ابزارهایی است که به صراحت برای درک فضای ابری ساخته شده اند.
بر اساس گزارش اخیر امنیت صنعت نرم افزار، افزایش قابل توجهی در تنش بین کارگران امنیت برنامه (AppSec) و توسعه دهندگان برنامه بر سر اجماع در مورد نیازهای بومی ابری وجود دارد. علاوه بر این، نگرانی فزاینده ای در مورد حفظ استعداد توسعه دهندگان در این زمینه وجود دارد.
همراه با حجم عظیمی از موارد مثبت کاذب گزارش شده، تیم های AppSec در نهایت اعتبار خود را در چشم توسعه دهندگان از دست می دهند. هنگامی که در مورد تأثیر کمبود ابزارهای ابری برای این گزارش مورد بررسی قرار گرفت، پاسخ دهندگان اصطکاک رو به رشد AppSec/dev را به عنوان موضوع شماره یک و به دنبال آن حفظ استعدادهای توسعه دهنده و AppSec را ذکر کردند.
خبر خوب؟ تیمهای AppSec میدانند که به چه چیزی نیاز دارند، و متخصصان AppSec بهطور قاطعانهای با آنچه که یک پارادایم AppSec مدرن و بومی ابری باید به نظر برسد، هماهنگ هستند. با این حال، علیرغم این درک، تنها تعداد محدودی از تیمها قابلیتهای لازم را برای برآورده ساختن مؤثر این الزامات دارند.
مطالعه تأثیر ابزارهای ناکافی Cloud-Native را نشان می دهد
او خاطرنشان کرد: «این شکافهای فعالسازی عظیم در سراسر قابلیتهای اصلی ابری گسترش مییابد.
سنجاق برای کاهش تنش
مشکل اساسی در ناکافی بودن ابزارهای سنتی AppSec برای محیط های ابری نهفته است. در نتیجه، تیمهای AppSec با عواقب کمبود ابزارهای ابری مناسب روزانه دست و پنجه نرم میکنند. این وضعیت مستمر باعث اصطکاک تیم، مسائل مربوط به حفظ استعدادها، نگرانی های درآمد، مشاجرات شهرت و اتلاف بیش از نیمی از زمان آنها برای تعقیب آسیب پذیری ها می شود.
اکثریت بزرگی از پاسخ دهندگان (91٪) گفتند که این مهم است. اصطکاک فزاینده ای بین AppSec و توسعه دهندگان به دلیل عدم توافق در مورد ضعف های عمومی کد و آسیب پذیری های حیاتی وجود دارد. علاوه بر این، 82 درصد از پاسخدهندگان اهمیت تجسم سرتاسر مدلهای تهدید برنامههای بومی ابری را برجسته کردند.
فقدان اقدامی که به شکاف دامن می زند
Man اعتراف کرد که یکی از بزرگترین شگفتیها در نتایج، حجم زیاد زمان تلف شده AppSec است که به ابزارهای ناکافی نسبت داده میشود. این ناکارآمدی هزینه های زیادی را برای شرکت ها تحمیل می کند.
اندکی کمتر از نیمی از پاسخ دهندگان حداقل یک بار در روز کد فشار سازمان خود را گزارش کردند. سرعت توسعه دهندگان به طور پیوسته در حال افزایش است.
“هزینه بازی دفاعی، با نام مستعار مالیات دفاعی، بسیار زیاد است. تخمینهای محافظهکارانه نشان میدهد که میانگین هزینه شرکت برای زمان تلف شده AppSec بیش از 1 میلیون دلار در سال است.
با این اوصاف، متوجه شدیم که متخصصان AppSec با قابلیتهای بومی ابری که برای روزمرهشان مهمتر است، بسیار هماهنگ هستند. جنبههای اصلی AppSec مدرن، همبستگی خودکار خطر AppSec با قرار گرفتن در معرض برنامهها در جهان خارج است.» Man توضیح داد.
تبلیغات