Kapsamlı ve olgun bir uygulama güvenliği (AppSec) çerçevesi, siber güvenliğin önemli bir unsurudur. Ancak personel sorunları, yetersiz bütçeler ve AppSec girişimlerine ilişkin genel kurumsal farkındalık eksikliği gibi engeller nedeniyle pek çok şirket, sürekli büyüyen tehdit ortamından kendilerini korumak için yeterli konumda değil.
Sektörler arası Mor Kitap Topluluğu’nun “Uygulama Güvenliği Operasyonlarının Durumu” raporu, AppSec mühendislerinin eksikliği, uzayan güvenlik açığı iyileştirme süresi ve endüstri çapında AppSec olgunluğunu engelleyen bulutun devam eden yükselişi dahil olmak üzere devam eden eğilimleri göstermektedir.
Baş bilgi güvenliği görevlileri (CISO’lar), güvenlik mühendisleri ve geliştiricileri, uygulama ve ürün güvenliği direktörleri ve mühendisleri ve üst düzey yöneticiler de dahil olmak üzere AppSec profesyonellerinin katıldığı bu yıllık anket, kuruluşları tehditlere karşı konumlandırmak için gerekli araç ve bilgilerin mevcut olmasına rağmen, Sektörü mevcut durumundan AppSec olgunluğuna taşımak için hâlâ önemli çalışmalar var.
AppSec Mühendisi Eksikliği
Ankete katılanların %48’i güvenlik ekiplerinin 50’ye kadar geliştiriciyi desteklediğini söylerken %42’sinin güvenlik ekibinde yalnızca bir ila beş AppSec mühendisi bulunuyor. Üstelik %24’ü ekiplerinde özel bir AppSec mühendisinin bulunmadığını söylüyor.
AppSec mühendislerinin eksikliği, bu profesyonellerin tehditlere ve güvenlik açıklarına yanıt vermek için gereken zamanı ve çabayı ayırma becerilerini sınırlamanın yanı sıra, proaktif güvenlik yönetimi yöntemlerinin oluşturulmasını ve dağıtılmasını da engelliyor.
Güvenlik açıklarını belirleyen, düzelten ve önleyen güvenlik önlemlerini oluşturmak ve dağıtmak için geliştiricilerle birlikte çalışan AppSec mühendisleri, uygulama ekosistemindeki kritik verilerin korunmasında bütünleyici bir rol oynar.
Geliştiricilerin güvenlik ekiplerinin sayısını genellikle 100’e 1 veya daha fazla aştığı göz önüne alındığında, en iyi güvenlik uygulamalarının uygulanıp uygulanmadığını bilmek zordur. Bu nedenle uygulamaların yetkisiz erişim ve değişiklik gibi güvenlik açıklarına karşı korumalı olarak dağıtılacağına dair bir garanti yoktur.
AppSec mühendislerinden oluşan güçlü bir ekibe sahip olmak, güvenlik açığı riskini azaltmada kritik öneme sahiptir. AppSec uzmanları, yazılım geliştirme süreçleri boyunca geliştiricilerle birlikte çalışarak ve uygulama yaşam döngüsü boyunca güvenlik önlemlerini entegre ederek, uygulama geliştirme ve dağıtımın tüm aşamalarında iç ve dış tehditlere karşı verilerin güvenliğinin sağlanmasına yardımcı olur.
Neredeyse Her Ürün Sürümünde Yaşanan Güvenlik Açıkları
Ankete katılanların %32’sine göre, kritik veya yüksek önemdeki güvenlik açıkları yılda birkaç kez üretime giriyor. Diğer %16’lık bir kesim ise her ürün sürümünde güvenlik açıklarının ortaya çıktığını kabul ediyor.
Bir uygulamanın tasarımı, konfigürasyonu veya uygulamasındaki boşluklardan veya hatalardan kaynaklanan güvenlik açıkları kaçınılmaz olabilir. Çoğu kuruluş düzenli olarak (üç ayda bir, ayda bir, haftada veya iki haftada bir) yeni yazılım yayınladığından, bu yazılımı güvence altına almak için doğru kişilerin, süreçlerin ve teknolojinin mevcut olması önemlidir.
Yavaş İyileştirme Süresi Güvenlik Açığı Yönetimini Zorlaştırıyor
Katılımcıların %43’ü için kritik önemdeki güvenlik açıkları için tipik düzeltme süresi bir ila beş gün arasında değişirken, %22’si düzeltme süresinin altı ila on gün olduğunu bildiriyor ve neredeyse %14’ü on günden fazla sürdüğünü söylüyor. Yalnızca %21’i güvenlik açıklarına bir günden daha kısa sürede yanıt verebiliyor.
Üretimde AppSec güvenlik açıklarının varlığı, bunların hızlı bir şekilde tespit edilip çözülmesini kritik hale getiriyor. Uygulama verilerine kötü niyetli oyuncular tarafından erişilmesini, değiştirilmesini veya tehlikeye atılmasını önlemek için kuruluşların, güvenlik açıklarını tespit etmek ve bunları etkili bir şekilde düzeltmek veya etkisiz hale getirmek için kapsamlı bir güvenlik açığı iyileştirme sürecine sahip olması gerekir. Bu, kötü niyetli oyuncuların verilere erişme fırsatlarını ortadan kaldırmak için düzeltme süresini en aza indirmeye yönelik çabalara öncelik verilmesi anlamına gelir.
Bulut Baskın Altyapı Kalıcıdır
Ankete katılanların dörtte birinden fazlası, yazılım ve uygulamalarının %100’ünü bulutta dağıttıklarını söylüyor. Tamamen bulut tabanlı bir modele geçmemiş kuruluşlar bile hâlâ bu modele yöneliyor; katılımcıların %31’i yazılımlarının %75’ini bulutta dağıtıyor ve %22’si yazılımlarının en az %50’sini bulutta dağıtıyor.
Dijital altyapı buluta taşınmaya devam ettikçe bulut tabanlı uygulama güvenliği daha da kritik hale geliyor. Hızlandırılmış sürüm döngüleri ve yeni teknolojilerle bir araya gelen bulut, sektörün uygulama ve altyapı sunma yaklaşımını önemli ölçüde değiştirdi. Yazılımın her zamankinden daha hızlı piyasaya sürülmesi yönündeki yoğun baskıya rağmen sektörün güvenliğe yaklaşımı henüz uyum sağlamadı.
Yeni yazılım sürümlerinin artan sıklığına ve hızına uyum sağlamak için güvenlik ekiplerinin, uygulama ortamlarının kapsamlı bir görünümünü oluşturmak amacıyla güvenlik açığı yönetimini, güvenlik duruşu yönetimini ve DevSecOps’u bulut ve şirket içi ortamlarda birleştirmeleri gerekir.
Yetersiz AppSec Finansmanı
Anket, AppSec olgunluğunun önündeki en büyük engelin yetersiz finansman olduğunu ortaya koyuyor. Ankete katılanların %22’si için bütçe, başarılı bir uygulama güvenliği programının önündeki en büyük zorluktur. Ankete katılanların %34’ünden fazlası, geçen yıl yazılım güvenliği bütçelerinde herhangi bir artış olmadığını bildiriyor ve %32’den fazlası gelecek yıl da bir değişiklik olmayacağını tahmin ediyor. Önemli yazılım güvenliği bütçeleri olmadan kuruluşlar hem çalışanlarına hem de süreçlerine fon sağlayamaz.
İleriye bakmak
Ankete katılanların %38’i uygulama güvenlik programlarını “biraz olgun” olarak değerlendirse de, bu da temel uygulamaları içeren tanımlanmış bir programa sahip oldukları anlamına gelirken, yalnızca %14’ü AppSec programlarının gelişmiş olduğunu söylüyor. Ayrıca %18’i bir AppSec çerçevesi geliştirme sürecine “yeni başladıklarını” söylüyor.
AppSec olgunluğuna giden yolculuk devam ediyor ancak sektörü yeterince güçlendirmek için hâlâ yapılması gereken ilerlemeler var. Devam eden bu yolculuğun ve sektördeki değişikliklerin bilincinde olarak Mor Kitap Topluluğu, modern bir Ölçeklenebilir Yazılım Güvenliği Olgunluk Modeli (S3M2) oluşturmak için bir araya geldi. Bu sektörler arası işbirlikçi çaba, kuruluşların yazılım güvenliği uygulamalarını değerlendirmesine ve geliştirmesine yardımcı olacak bir çerçeve sunar.