کاستی های AppSec خسارت سنگینی بر کسب و کارها وارد می کند

بر اساس گزارش اخیر صنعت امنیت نرم افزار، افزایش قابل توجهی در تنش در میان متخصصان امنیت برنامه (AppSec) و توسعه دهندگان برنامه بر سر اجماع در مورد نیازهای بومی ابری وجود دارد. علاوه بر این، نگرانی فزاینده ای در مورد حفظ استعداد توسعه دهندگان در این زمینه وجود دارد.

مشکل اصلی این است که ابزارهای سنتی AppSec برای محیط های ابری مناسب نیستند. در نتیجه، تیم‌های AppSec روزانه با پیامدهای کمبود ابزارهای بومی ابری مناسب دست و پنجه نرم می‌کنند. این وضعیت ثابت باعث اصطکاک تیم، مسائل مربوط به حفظ استعدادها، نگرانی های درآمدی، نزاع های شهرت، هدر دادن بیش از نیمی از زمان آنها برای تعقیب نقاط ضعف می شود.

خبر خوب؟ تیم‌های AppSec می‌دانند که به چه چیزی نیاز دارند، و متخصصان AppSec با این که یک مدل AppSec مدرن و مبتنی بر فضای ابری چگونه باید باشد، بسیار هماهنگ هستند. با این حال، علیرغم این درک، تنها تعداد محدودی از تیم ها توانایی برآوردن مؤثر این الزامات را دارند.

مطالعه تأثیر ابزارهای نامناسب بومی ابری را نشان می دهد

در ماه مه، ارائه‌دهنده راهکارهای AppSec بومی ابری، Backslash Security، مطالعه‌ای را با عنوان «شکستن چرخه بازگشت: گزارش بررسی الگوی جدید Cloud-Native AppSec» منتشر کرد. بررسی می‌کند که چگونه امنیت برنامه‌ها از زمان ظهور اپلیکیشن‌های بومی ابری تکامل یافته است.

این مطالعه شیوه‌ها، ابزارها و نیازهای CISOs، مدیران AppSec و مهندسان AppSec را در سازمان‌های سازمانی با 1000 کارمند یا بیشتر با محیط‌های توسعه نرم‌افزار بومی ابری بالغ بررسی می‌کند. نتایج نشان داد که 85 درصد از متخصصان AppSec گفتند که توانایی تشخیص خطر واقعی و نویز بسیار مهم است. امروز فقط 38 درصد می توانند این کار را انجام دهند.

به گفته محققان، سازمان‌های DevOps بالغ به تأثیر گسترده ناشی از کمبود ابزارهای بومی ابری اشاره می‌کنند. تیم‌های AppSec در چرخه‌ای گیر افتاده‌اند و نمی‌توانند با سرعت فزاینده و چابک توسعه و دفاع امنیتی در یک تعقیب بی‌پایان و غیرمولد برای آسیب‌پذیری همگام شوند.

مدیر عامل Backslash Security و یکی از بنیانگذاران Shahar، “ابزارهای نامناسب بومی ابری دلیل اصلی اصطکاک بین تیم های AppSec و توسعه دهندگان هستند. ابزارهای نسل کنونی AppSec توانایی برقراری ارتباط با سطح شواهد مورد نیاز برای عملکرد تیم های توسعه بر اساس هشدارها را ندارند.” مرد به TechNewsWorld گفت.

AppSec Defense Play

قابل توجه است، در حالی که 58 درصد از پاسخ دهندگان گزارش می دهند که بیش از 50 درصد از زمان خود را صرف تعقیب آسیب پذیری می کنند، 89 درصد حداقل 25 درصد از زمان خود را در این موقعیت دفاعی می گذرانند. در مقیاس بزرگ، مشاغل قربانی این مالیات دفاعی پرهزینه می شوند.

مالیات ادعایی که سالانه بیش از 1.2 میلیون دلار تخمین زده می شود، هزینه استخدام مهندسان AppSec است که به جای رهبری یک برنامه جامع و بومی AppSec، به دنبال آسیب پذیری ها هستند. مان شکایت کرد که تیم‌های امنیتی برنامه در تلاش هستند تا با تیم‌های توسعه سریع که به سرعت کد را در فضای ابری مستقر می‌کنند، همگام شوند.

مشاهده یک مشکل بزرگ این است که ابزارهای آنها قدیمی هستند. آنها فاقد بستر حیاتی ابری هستند تا تیم های AppSec را قادر به انجام موفقیت آمیز وظایف خود کنند. علاوه بر این، ابزارهای امنیتی برنامه های کاربردی موجود با ایجاد تعداد زیادی هشدار کم ارزش، مشکل را تشدید می کنند.

مان تاکید کرد که تیم‌های AppSec باید به ابزارهای مدرن بومی ابری مجهز شوند. رایج ترین شکایات در مورد ابزارهای موجود که متخصصان AppSec در اختیار دارند جای تعجب ندارد. کارگران AppSec ادعا می کنند که ابزارهای سنتی آنها آزاردهنده هستند و اولویت بندی نتایج را وقت گیر می کنند.

“با این حال، ما دریافتیم که متخصصان AppSec بیشترین هماهنگی را با قابلیت های بومی ابری دارند که در زندگی روزمره آنها مهم است. جنبه های اساسی اجرای AppSec مدرن همبستگی خودکار خطرات AppSec با قرار گرفتن برنامه در معرض خارج است. جهان،» مان توضیح داد.

اکثریت بزرگی از پاسخ دهندگان (91٪) گفتند که این مهم است. اصطکاک فزاینده ای بین AppSec و توسعه دهندگان به دلیل عدم توافق در مورد آسیب پذیری های کد عمومی و آسیب پذیری های حیاتی وجود دارد. علاوه بر این، 82 درصد از پاسخ دهندگان بر اهمیت تجسم جامع مدل های تهدید برای برنامه های کاربردی ابری تاکید کردند.

عدم اقدام به شکاف دامن می زند

همراه با حجم عظیمی از موارد مثبت کاذب گزارش شده، تیم های AppSec در نهایت اعتبار خود را در چشم توسعه دهندگان از دست می دهند. هنگامی که در مورد تأثیر کمبود ابزارهای بومی ابری برای این گزارش نظرسنجی شد، پاسخ دهندگان اصطکاک رو به رشد AppSec/dev را به عنوان موضوع شماره یک و به دنبال آن حفظ استعدادهای توسعه دهنده و AppSec ذکر کردند.

Man گفت: “تیم های AppSec بدیهی است که می دانند به چه چیزی نیاز دارند، اما سوال بزرگتر این است که آیا صنعت مایل است آن را به آنها بدهد یا خیر.”

به عنوان مثال، اکثریت قریب به اتفاق (85٪) از متخصصان AppSec توانایی تشخیص خطرات کد واقعی از مسائل کم خطر را می‌خواهند، که آن را به مهم‌ترین قابلیت در فضای ابری تبدیل می‌کند. اما تنها 38 درصد به طور کامل با جعبه ابزار فعلی خود قادر به انجام این کار هستند.

او خاطرنشان کرد: «شکاف‌های فعال‌سازی گسترده در قابلیت‌های ابری اصلی وجود دارد».

آرزوی کاهش تنش

مان اضافه کرد که یکی از چیزهایی که تیم‌های AppSec بیش از همه می‌خواهند این است که با همتایان توسعه‌دهنده خود به خوبی کار کنند – نگرانی اصلی که در طول بررسی ظاهر شد. هر نقش AppSec دیدگاه خاص خود را از چگونگی تأثیر فقدان ابزارهای بومی ابری بر اصطکاک فزاینده بین روابط AppSec/devs دارد.

به عنوان مثال، مهندسان AppSec اغلب روز خود را در سنگر می گذرانند. آنها بیشتر نگران حفظ استعدادهای توسعه یافته هستند. اما مدیران آنها بیشتر به حفظ استعداد AppSec اهمیت می دهند. در همین حال، CISO ها با چشم انداز بالایی که از هر دو طرف معادله دارند، نگران اصطکاک بین دو تیم هستند.

همچنین، به گفته Man، شایان ذکر است که قابلیت‌های بومی ابری از دست رفته است که AppSec و dev را قادر می‌سازد تا به خوبی با هم کار کنند. بررسی نشان داد که آنها به طور قابل توجهی کمبود دارند.

به عنوان مثال، 78٪ از پاسخ دهندگان گفتند که پیوند نتایج امنیتی به تیم توسعه مسئول تعمیر ضروری است. اما اکنون تنها 43 درصد به طور کامل این اختیار را دارند.

این مطالعه نشان داد که غربالگری موثر بین Dev و AppSec در 73% در مقابل 42% مشابه است.

عواقب پرهزینه

به گفته مان، یکی از بزرگ‌ترین شگفتی‌های نتایج، اتلاف زمان AppSec بود که به ابزارهای ناکافی نسبت داده می‌شد. این ناکارآمدی هزینه های زیادی را برای شرکت ها تحمیل می کند.

“هزینه بازی دفاعی که به عنوان مالیات دفاعی نیز شناخته می شود، قابل توجه است. برآوردهای محافظه کارانه میانگین هزینه شرکت AppSec را بیش از 1 میلیون دلار در سال نشان می دهد.”

این تخمین بر اساس میانگین حقوق کارمندان AppSec و اندازه تیم AppSec است. مان اضافه کرد که این محاسبه هزینه برنامه‌های کاربردی سازمانی را در نظر نمی‌گیرد.

نکته اصلی روند جدید بازار را مشاهده کنید

کمتر از نیمی از پاسخ دهندگان حداقل یک بار در روز کد پرداخت سازمان خود را گزارش کردند. سرعت توسعه دهندگان به طور پیوسته در حال افزایش است.

تیم‌ها ایمان خود را به ابزارهای سنتی AppSec از دست می‌دهند، زیرا نمی‌توانند عقب‌نشینی کنند و در یک بازی دائمی برای رسیدن به عقب گیر کرده‌اند. تأثیر آن بسیار گسترده است و اکثریت قریب به اتفاق سازمان‌ها تأثیر گسترده‌ای را مشاهده می‌کنند که ناسازگاری در فضای ابری است. ابزار AppSec،” Mann گفت.

وی افزود: نفوذ «مردم» از اهمیت ویژه ای برخوردار است. نکته پایانی این است که صنعت AppSec برای تغییرات اساسی آماده است و سزاوار ابزارهایی است که به صراحت برای درک فضای ابری طراحی شده اند.

Man معتقد است که مدیریت حالت امنیت برنامه (ASPM) – یک رویکرد امنیتی جدید – به تیم های AppSec کنترل بیشتری می دهد و وضعیت امنیتی برنامه های آنها را بهبود می بخشد.

Man: “در نهایت، یک طرز فکر جدید وجود دارد که یک دید کلی از وضعیت امنیتی یک برنامه ارائه می دهد و به AppSec اجازه می دهد تا تعادلی بین طرز فکر “تغییر چپ” ایجاد کند و آسیب پذیری های امنیتی را قبل از اینکه مورد سوء استفاده قرار گیرند شناسایی و کاهش دهد.