Mend.io’ya göre modern uygulama güvenliği stratejileri, hızla ölçeklense bile modern yazılım geliştirmeyi desteklemeli ve mümkün kılmalıdır.
Şirketlerin yalnızca %52’si kritik güvenlik açıklarını etkili bir şekilde giderebiliyor ve yalnızca %41’i açık kaynak bileşenleriyle ilişkili güvenlik ve uyumluluk risklerini yönetebileceklerinden emin.
Uygulama güvenliği için etkili iyileştirme anahtarı
“Kuruluşların ancak yarısı kritik güvenlik açıklarını etkili bir şekilde düzeltebiliyor. Bu endişe verici,” diyor Kurumsal Strateji Grubu Siber Güvenlik Uygulama Direktörü Melinda Marks. “Bu, geri kalan %48’in kötü amaçlı yazılım, fidye yazılımı ve veri kaybı da dahil olmak üzere kötü niyetli saldırılara karşı ciddi risk altında olduğu anlamına geliyor.”
En önemli temel performans göstergesi olan uygulama güvenliği söz konusu olduğunda, etkili iyileştirmenin karşılığını alması çok önemlidir. Güvenlik açıklarını etkili bir şekilde giderebildiğini bildiren şirketlerin, son 12 ay içinde şirket içinde geliştirilen uygulamalardaki yazılım güvenlik açığı/web uygulaması istismarına bağlı herhangi bir ciddi güvenlik olayıyla karşılaşmadıklarını söyleme olasılıkları neredeyse iki kat daha fazla.
Araştırma aynı zamanda şirketler arasındaki güvenlik açıklarını etkili bir şekilde giderebilecek önemli eğilimleri ve en iyi uygulamaları da ortaya çıkardı. Marks, “Şirketlerin bir güvenlik açığını etkili bir şekilde düzeltebilecek %52’den neler öğrenebileceğini bilmek istedik” diyor ve şöyle devam ediyor: “Böylece analizi yaptık ve birkaç en iyi uygulamayı belirledik.”
Uygulama güvenliği bir iş riskidir
Bu bulgular özellikle yönetim kurulu düzeyindeki güvenlik ve iş riskinin artmasıyla ilgilidir. Aslında ankete katılanların %85’i, uygulama güvenliğinin yönetim kurulu düzeyinde bir öncelik olduğunu söylüyor ve bunun haklı bir nedeni var.
Ankete katılan kuruluşlar, bir yazılım güvenlik açığından kaynaklanan ortalama ~3 ciddi güvenlik olayıyla karşılaştı. Kuruluşların %70’i, son 12 ay içinde doğrudan bir yazılım açığından kaynaklanan en az bir ciddi güvenlik olayıyla karşılaştı.
Geçtiğimiz 12 ay içinde bir güvenlik olayı yaşayanlar için bunun sonuçları arasında uygulamanın aksama süresi (%46), uygulamalara veya verilere yetkisiz erişim (%38), kötü amaçlı yazılım (%34) ve veri kaybı (%34) yer aldı.
Modernizasyon aynı derecede modern güvenlik yaklaşımlarını da gerektirir
Anket bulguları, kritik güvenlik açıklarını etkili bir şekilde düzeltebilen kuruluşlar arasında, bunu başaramayanlarla karşılaştırıldığında temel kalıpları gösteriyor. Araştırma, etkili programların:
- DevOps’u daha kapsamlı bir şekilde benimsediler. Güvenlik açıklarını etkili bir şekilde düzeltebildiğini bildiren kuruluşların DevOps’u kapsamlı bir şekilde benimsediklerini bildirme olasılıkları iki kattan fazladır (%46’ya karşılık %20).
- Güvenlik iş akışlarının daha kapsamlı DevSecOps benimsenmesine ve otomasyonuna sahip olun. Bu kuruluşlar, üretime geçmeden önce yapılandırma ve yazılım güvenlik açıklarının tanımlanmasını ve iyileştirilmesini daha sık otomatik hale getiriyor (%78’e karşı %61).
- Açık kaynak güvenlik açıklarına öncelik verin. Güvenlik açıklarını etkili bir şekilde düzeltebildiğini bildiren kuruluşların, uygulamalarındaki tüm açık kaynak güvenlik açıklarını “düzeltilmesi gereken” olarak değerlendirdiklerini bildirme olasılıkları iki kattan fazladır (%60’a karşı %28).
- Kodlarında ne olduğunu bilin. Güvenlik açıklarını etkili bir şekilde giderebilen kuruluşların, kodlarıyla ilgili, kaynağının ne olduğu gibi soruları yanıtlayabilmeyi kritik olarak gördüklerini söyleme olasılıkları da daha yüksek (%49’a karşılık %31).
Mend.io CEO’su Rami Sass, “İşletmeler üretkenliği artırmak için geliştirme süreçlerini modernleştirirken güvenliğin de buna ayak uydurması gerekiyor” dedi. “Bu araştırma, en iyi uygulamalar konusunda ilerleme kaydedildiğini gösteren önemli bilgileri ortaya çıkardı. DevOps’u benimseyen, güvenlik iş akışlarını otomatikleştirmek için modern araçlardan yararlanan, açık kaynak güvenlik açıklarına öncelik veren ve kodlarında ne olduğunu anlayan kuruluşlar, uygulama riskini ve güvenliğini etkili bir şekilde yönetme konusunda daha güçlü bir beceri sergiliyor.”