Backslash Security’ye göre, AppSec ekipleri bir yakalama döngüsünde sıkışmış durumda, giderek artan hızlı, çevik geliştirme hızına ayak uyduramıyor ve sonsuz ve verimsiz bir güvenlik açığı takibi yoluyla güvenlik savunması oynuyor.
Pahalı ‘savunma vergisi’
Dikkate değer bir şekilde, yanıt verenlerin %58’i zamanlarının %50’sinden fazlasını güvenlik açıklarını kovalayarak geçirdiğini ve şok edici bir %89’unun zamanlarının en az %25’ini bu savunma modunda geçirdiğini bildirdi.
Dünyanın dört bir yanında işletmeler bu maliyetli ‘savunma vergisinin’ kurbanı oldu: Kapsamlı bir bulut tabanlı AppSec programını yürütmek yerine güvenlik açıklarını kovalayan AppSec mühendislerini çalıştırmanın maliyetinin yılda 1,2 milyon doları aştığı tahmin ediliyor.
AppSec teknolojileri sorunları
Her büyüklükteki kuruluşta artan dijital inovasyon hızı ve AppSec ile CloudSec arasındaki bulanık çizgiler göz önüne alındığında, kurumsal AppSec ekipleri bulut hızına yetişemeyen çözümlerle uğraşıyor. Sonuç olarak, AppSec uzmanları, geçerli AppSec araçlarına olan inançlarını kaybediyor:
- Neredeyse tüm kuruluşlar, bulutta yerel AppSec araçlarının bulunmamasının yaygın bir etkisini görüyor; buna AppSec ve geliştirme ekipleri arasında artan sürtüşme (%39), riske giren gelir elde etme yeteneği (%39) ve yüksek değerli geliştirici yeteneklerini elde tutamama ( %38 ve AppSec yeteneği (%35);
- Yanıt verenlerin %94’ü, günümüzün AppSec teknolojileriyle ilgili birden çok sorundan bahsetti; En çok şikayetler, bulgulara öncelik vermek için harcanan önemli miktarda zaman (%48) ve mevcut AppSec araçlarının gürültülü olmasıydı (%45).
- SAST ve DAST hızla geriliyor ve yanıt verenlerin yalnızca %32’si bu geçerli standartlardan herhangi birini kapsamlı bir şekilde kullandıklarını belirtiyor;
Modern AppSec’in üç temel ilkesi
Rapor, tüm mikro hizmetlerin uçtan uca görselleştirilmesi, gerçek risklerin otomatik olarak tanımlanması ve önceliklendirilmesi ve akıllı önceliklendirme ile karakterize edilen, bulutta yerel AppSec başarısı için modern bir standarda giden açık bir yolu gösteren yeni bir AppSec paradigmasına olan acil ihtiyacı vurgulamaktadır. ve iyileştirme.
Modern AppSec’in bu üç temel ilkesinin önemini değerlendirirken:
- %82’si, tehdit modeli görselleştirmesini otomatikleştirmenin, AppSec Ekiplerinin bulutta yerel uygulama risklerini analiz ederek zamandan ve el emeğinden tasarruf etmesine yardımcı olacağı konusunda hemfikir;
- %91’i, uygulama güvenlik risklerini, açık API’ler aracılığıyla olduğu gibi, uygulamanın dış dünyaya maruz kalmasıyla ilişkilendirmenin önemli olduğuna inanıyor;
- %91’i genel kod zayıflıkları ile kritik güvenlik açıkları arasında ayrım yapmanın önemli olduğuna inanıyor;
- Bu yeni bulut tabanlı AppSec paradigmasını tanımlayan toplam dokuz yetenekten sekizi, yanıt verenlerin %70’inden fazlası tarafından “kritik” veya “önemli” olarak derecelendirildi.
Eski AppSec metodolojileri üretkenliği engelliyor
Bununla birlikte, AppSec endüstrisi, büyük bir bulut yerel etkinleştirme açığından muzdariptir. Ankete katılanlar, en kritik yeteneklerin tamamında etkinleştirmenin büyük ölçüde eksik olduğunu bildirdi:
- Yanıt verenlerin %85’i, gerçek riskler ile gürültüyü ayırt etme yeteneğinin başarıları için kritik olduğunu ve bu yeteneğin #1 numaralı yetenek olduğunu söylüyor; yine de yanıt verenlerin yalnızca %38’i bunu yapabilir;
- Bu eğilim, “güvenlik bulgularını düzeltmeden sorumlu geliştirici veya geliştirme ekibiyle ilişkilendirme” (%78’e karşı %43) dahil olmak üzere baştan sona devam ediyor; “uygunluk standartlarını karşılama” (%78’e karşı %38); ve “Geliştirme ve AppSec arasında verimli önceliklendirme” (%73’e karşı %42).
Backslash CEO’su Shahar Man, “Genel olarak duyduğumuz şey bir aciliyet mesajı – bulut tabanlı yeni bir gerçekliğe girdik ve AppSec yakalama oyununa son vermenin zamanı geldi” dedi. .
“Bu modası geçmiş AppSec metodolojileri, hem AppSec hem de geliştirme ekipleri için üretkenliği, yeniliği ve yetenekleri elde tutmayı engelliyor. Bulutta yerel uygulama geliştirme paradigması, geliştirme ve AppSec ekipleri arasındaki sürtüşmeyi geçmişte bırakacak, işletmelerin değerli yetenekleri elde tutmasını ve inovasyonu ve büyümeyi hızlandırmasını sağlayacak, uygulama güvenliğine yönelik yeni ve birleşik bir yaklaşım gerektiriyor” diye ekledi Man.