ناکارآمدی AppSec برای شرکت ها هزینه گزافی دارد

بر اساس گزارش اخیر امنیتی صنعت نرم افزار، افزایش قابل توجهی در تنش بین کارگران امنیت برنامه (AppSec) و توسعه دهندگان برنامه بر سر اجماع در مورد نیازهای ابر وجود دارد. علاوه بر این، نگرانی در مورد حفظ استعداد توسعه دهندگان در این زمینه وجود دارد.

مشکل اصلی در ناکافی بودن ابزارهای سنتی AppSec برای محیط های ابری نهفته است. در نتیجه، تیم‌های AppSec روزانه با عواقب نداشتن ابزارهای مبتنی بر ابر مناسب دست و پنجه نرم می‌کنند. این وضعیت مستمر باعث اصطکاک تیم، مسائل حفظ استعداد، مسائل مربوط به درآمد، اختلافات شهرت و اتلاف بیش از نیمی از زمان آنها برای تعقیب آسیب پذیری ها می شود.

خبر خوب؟ تیم‌های AppSec می‌دانند به چه چیزی نیاز دارند و متخصصان AppSec کاملاً موافق هستند که یک پارادایم AppSec مدرن و مبتنی بر ابر چگونه باید باشد. با این حال، با وجود این درک، تنها تعداد محدودی از تیم‌ها توانایی‌های لازم را برای برآورده کردن مؤثر این الزامات دارند.

یک مطالعه تأثیر ابزارهای ابری ناکافی را نشان می دهد

در ماه مه، ارائه‌دهنده راهکارهای AppSec مبتنی بر ابر، Backslash Security، مطالعه‌ای را با عنوان «شکستن چرخه بازگشت: گزارش بررسی الگوی جدید Cloud AppSec» منتشر کرد. این بررسی می کند که چگونه امنیت برنامه از زمان ظهور برنامه های کاربردی ابری تکامل یافته است.

این مطالعه شیوه‌ها، ابزارها و نیازهای CISOs، مدیران AppSec و مهندسان AppSec را در سازمان‌های سازمانی با 1000 کارمند یا بیشتر با محیط‌های توسعه نرم‌افزار ابری بالغ بررسی می‌کند. نتایج نشان می دهد که 85 درصد از متخصصان AppSec می گویند توانایی تشخیص خطرات واقعی و نویز بسیار مهم است. امروز فقط 38 درصد می توانند این کار را انجام دهند.

به گفته محققان، سازمان‌های DevOps بالغ به دلیل فقدان ابزارهای ابری، تأثیر گسترده‌ای را عنوان می‌کنند. تیم‌های AppSec در چرخه‌ای گیر کرده‌اند و نمی‌توانند با سرعت فزاینده و چابک توسعه همراه شوند و با تعقیب بی‌پایان و غیرمولد آسیب‌پذیری‌ها، دفاع امنیتی را انجام می‌دهند.

ناکافی بودن تجهیزات بومی ابری دلیل اصلی اصطکاک بین تیم های AppSec و توسعه دهندگان است. شار مان، مدیر عامل و یکی از بنیانگذاران امنیت Backslash به دیجیتال تو گفت: ابزارهای نسل کنونی AppSec فاقد توانایی محاسبه سطح شواهدی هستند که تیم های توسعه دهنده برای اقدام بر اساس هشدارها نیاز دارند.

AppSec دفاع بازی می کند

شایان ذکر است، در حالی که 58 درصد از پاسخ دهندگان گزارش داده اند که بیش از 50 درصد از زمان خود را برای شکار آسیب پذیری ها صرف کرده اند، طبق این گزارش، 89 درصد تکان دهنده حداقل 25 درصد از زمان خود را در این حالت محافظت شده سپری کرده اند. کسب و کارها در همه جا طعمه این مالیات حمایتی گران می شوند.

مالیاتی که بیش از 1.2 میلیون دلار در سال تخمین زده می شود، هزینه استخدام مهندسان AppSec برای شناسایی آسیب پذیری ها به جای مدیریت کل برنامه AppSec ابری است. مان شکایت کرد که تیم‌های امنیتی برنامه در تلاش هستند تا با تیم‌های توسعه سریع‌تر که به سرعت در حال استقرار کد در فضای ابری هستند، عقب نمانند.

او گفت که یک مشکل مهم این است که ابزار آنها قدیمی است. آن‌ها فاقد بستر ابری هستند که برای فعال کردن تیم‌های AppSec برای انجام موفقیت‌آمیز وظایفشان ضروری است. علاوه بر این، ابزارهای امنیتی برنامه فعلی با ایجاد تعداد بیش از حد هشدارهای کم ارزش، مشکل را تشدید می کنند.

Man خواستار تجهیز تیم های AppSec به ابزارهای مدرن مبتنی بر ابر شد. رایج ترین شکایات در مورد ابزارهای فعلی موجود برای متخصصان AppSec جای تعجب ندارد. مقامات AppSec می گویند ابزارهای سنتی آنها پر سر و صدا هستند و اولویت بندی یافته ها را بسیار وقت گیر می کنند.

با این حال، ما متوجه شدیم که متخصصان AppSec با قابلیت‌های ابری که برای زندگی روزمره‌شان مهم‌تر است، بسیار هماهنگ هستند. جنبه های کلیدی AppSec مدرن همبستگی خودکار خطر AppSec با قرار گرفتن برنامه در معرض دنیای خارج است.

اکثریت بزرگی از پاسخ دهندگان (91٪) گفتند که این مهم است. اصطکاک فزاینده ای بین AppSec و توسعه دهندگان به دلیل عدم توافق در مورد ضعف های رایج کد و آسیب پذیری های حیاتی وجود دارد. علاوه بر این، 82 درصد از پاسخ دهندگان بر اهمیت مشاهده سرتاسر مدل های تهدید برای برنامه های کاربردی مبتنی بر ابر تأکید کردند.

فقدان اقدامی که به شکاف دامن می زند

همراه با حجم بالای گزارش‌های مثبت کاذب، تیم‌های AppSec اعتبار خود را در چشم توسعه‌دهندگان از دست می‌دهند. وقتی در مورد تأثیر کمبود ابزارهای ابری برای این گزارش نظرسنجی شد، پاسخ دهندگان به اصطکاک رو به رشد بین AppSec/dev به عنوان موضوع شماره یک اشاره کردند و به دنبال آن حفظ استعدادهای توسعه دهنده و AppSec.

مان به چالش کشید: «روشن است که تیم‌های AppSec می‌دانند به چه چیزی نیاز دارند، اما سؤال بزرگتر این است که آیا صنعت آماده است تا آن را به آنها بدهد یا خیر.

به عنوان مثال، اکثریت قریب به اتفاق (85٪) از متخصصان AppSec می خواهند توانایی تشخیص خطرات کد واقعی از مسائل کم خطر را داشته باشند و آن را به مهم ترین قابلیت ابری تبدیل کند. اما تنها 38 درصد به طور کامل قادر به انجام این کار با استفاده از مجموعه ابزارهای فعلی خود هستند.

او خاطرنشان کرد: «این شکاف‌های فعالسازی عظیم در سراسر قابلیت‌های ابری زیرین گسترش می‌یابند.

برای از بین بردن تنش تلاش کنید

مان اضافه کرد که یکی از چیزهایی که تیم‌های AppSec بیش از همه می‌خواهند این است که با همکاران توسعه‌دهنده خود خوب کار کنند، نگرانی کلیدی که در طول این نظرسنجی مطرح شد. هر نقش AppSec دیدگاه خاص خود را در مورد چگونگی تأثیر فقدان ابزارهای ابری بر اصطکاک رو به رشد بین روابط AppSec/devs دارد.

به عنوان مثال، مهندسان AppSec بسیاری از روزهای خود را در سنگر می گذرانند. آنها بیشتر نگران حفظ استعداد توسعه دهندگان هستند. اما مدیران آنها بیشتر نگران حفظ استعدادهای AppSec هستند. در همین حال، CISO ها با دیدگاه سطح بالای خود از هر دو طرف معادله، نگران اصطکاک بین دو تیم هستند.

همچنین به گفته Man قابل توجه، قابلیت‌های ابری از دست رفته است که به AppSec و dev به خوبی با هم کار می‌کنند. این مطالعه نشان می دهد که آنها به ویژه کمبود دارند.

به عنوان مثال، 78 درصد از پاسخ دهندگان گفتند که برقراری ارتباط با یافته های امنیتی با تیم توسعه که مسئول اصلاح هستند ضروری است. اما اکنون تنها 43 درصد به طور کامل قادر به انجام این کار هستند.

این مطالعه نشان داد که مرتب سازی موثر بین Dev و AppSec در 73% در مقابل 42% مشابه بود.

عواقب گران قیمت

Man اعتراف کرد که یکی از بزرگترین شگفتی‌ها در نتایج، اتلاف زمان AppSec به دلیل ابزارهای ناکافی بود. این ناکارآمدی هزینه های گزافی برای شرکت ها دارد.

“هزینه بازی دفاعی که به عنوان مالیات دفاعی نیز شناخته می شود، بالا است. برآوردهای محافظه کارانه هزینه متوسط ​​زمان از دست رفته AppSec را بیش از 1 میلیون دلار در سال نشان می دهد.

این تخمین بر اساس میانگین حقوق کارکنان AppSec و اندازه تیم AppSec است. مان افزود که این محاسبه هزینه ایمن سازی ناکافی برنامه های یک شرکت را در نظر نمی گیرد.

یافته های کلیدی نشان دهنده جهت گیری جدید بازار است

کمتر از نیمی از پاسخ دهندگان گزارش دادند که سازمان های آنها حداقل یک بار در روز از کد فشار استفاده می کنند. سرعت توسعه دهندگان به طور مداوم در حال افزایش است.

تیم‌ها ایمان خود را به ابزارهای سنتی AppSec از دست می‌دهند، زیرا نمی‌توانند به این ابزارها ادامه دهند و در یک بازی دائمی از پیگیری گیر افتاده‌اند. مان گفت که این تأثیر بسیار گسترده است و اکثریت قریب به اتفاق سازمان‌ها تأثیر گسترده ابزارهای AppSec ابری ناکافی را مشاهده می‌کنند.

او افزود که تأثیر “مردم” به ویژه قابل توجه است. نکته اصلی این است که صنعت AppSec برای تغییرات قابل توجهی آماده است و شایسته ابزارهایی است که به طور خاص برای درک فضای ابری ساخته شده اند.

Man معتقد است که مدیریت امنیت برنامه (ASPM) – یک رویکرد جدید برای امنیت – به تیم های AppSec کنترل بیشتری می دهد و وضعیت امنیتی برنامه های آنها را بهبود می بخشد.

در نهایت، روش جدیدی برای تفکر وجود دارد که دیدی جامع از وضعیت امنیتی یک برنامه ارائه می‌کند و به AppSec اجازه می‌دهد تا تعادلی بین ذهنیت «تغییر به چپ» و توانمندسازی برای شناسایی و کاهش آسیب‌پذیری‌ها قبل از سوءاستفاده ایجاد کند.