Yakın tarihli bir yazılım endüstrisi güvenlik raporuna göre, uygulama güvenliği (AppSec) çalışanları ile uygulama geliştiricileri arasında bulutta yerel ihtiyaçlar konusunda fikir birliği konusunda kayda değer bir gerilim artışı var. Ek olarak, bu bağlamda geliştirici yeteneklerini elde tutma konusunda artan bir endişe var.Temel sorun, bulut ortamları için geleneksel AppSec araçlarının yetersizliğinde yatmaktadır. Sonuç olarak, AppSec ekipleri günlük olarak uygun bulutta yerel araçlara sahip olmamanın sonuçlarıyla boğuşuyor. Devam eden bu durum, ekip sürtüşmesine, yetenekleri elde tutmayla ilgili sorunlara, gelir kaygılarına, itibar çekişmelerine ve zamanlarının yarısından fazlasını güvenlik açıklarını kovalayarak boşa harcamalarına neden olur.Güzel haberler? AppSec ekipleri neye ihtiyaçları olduğunu biliyor ve AppSec profesyonelleri, modern, bulut tabanlı bir AppSec paradigmasının nasıl olması gerektiği konusunda büyük ölçüde aynı fikirde. Ancak bu anlayışa rağmen, yalnızca sınırlı sayıda ekip bu gereklilikleri etkin bir şekilde yerine getirmek için gerekli yeteneklere sahiptir.
"Bununla birlikte, AppSec profesyonellerinin günlük işleri için en önemli olan bulutta yerel yetenekler konusunda oldukça uyumlu olduklarını gördük. Modern AppSec'in temel yönleri, AppSec riskinin uygulamanın dış dünyaya maruz kalmasıyla otomatik olarak korelasyonudur," diye açıkladı Man.Katılımcıların büyük bir çoğunluğu (%91) bunun önemli olduğunu söyledi. Genel kod zayıflıkları ve kritik güvenlik açıkları konusunda fikir birliği olmaması nedeniyle AppSec ile geliştiriciler arasında artan bir sürtüşme var. Ayrıca, yanıt verenlerin %82'si bulut yerel uygulama tehdit modellerinin uçtan uca görselleştirilmesinin önemini vurguladı.
Man, sonuçlardaki en büyük sürprizlerden birinin, yetersiz araçlara atfedilen AppSec zamanının boşa harcanması olduğunu itiraf etti. Bu verimsizlik şirketlere çok pahalıya mal oluyor.“Savunma oynamanın maliyeti, yani savunma vergisi çok büyük. İhtiyatlı tahminler, ortalama bir işletmenin boşa harcanan AppSec zamanı maliyetinin yılda 1 milyon doların üzerinde olduğunu gösteriyor” dedi.Bu tahmin, ortalama AppSec çalışan maaşlarına ve AppSec ekip boyutuna dayanmaktadır. Man, söz konusu kuruluşun uygulamalarını yetersiz bir şekilde güvence altına almanın maliyetini hesaba katmadığı için bu hesaplamanın başarısız olduğunu ekledi.Temel Çıkarımlar Yeni Pazar Yönünü Gösteriyor
Yanıt verenlerin yarısından biraz daha azı kuruluşlarının günde en az bir kez kod gönderdiklerini bildirdi. Geliştiricilerin hızı giderek artıyor."Ekipler, yetişemedikleri ve sürekli bir yakalama oyunu içinde sıkışıp kaldıkları için geleneksel AppSec araçlarına olan inançlarını kaybediyorlar. Etkisi çok geniş, kuruluşların büyük çoğunluğu yetersiz bulut tabanlı AppSec araçlarının yaygın etkisini görüyor,” dedi Man."İnsan" etkisinin özellikle önemli olduğunu da sözlerine ekledi. Temel çıkarım, AppSec endüstrisinin önemli bir değişime hazır olduğu ve bulutu anlamak için özel olarak oluşturulmuş araçları hak ettiğidir.Man, yeni bir güvenlik yaklaşımı olan uygulama güvenliği duruşu yönetiminin (ASPM) AppSec ekiplerine daha fazla kontrol sağladığına ve uygulamalarının güvenlik duruşunu iyileştirdiğine inanıyor."Son olarak, uygulama güvenliği duruşuna bütünsel bir bakış sağlayan ve AppSec'in 'sola kaydırma' zihniyeti ile güvenlik açıklarını istismar edilmeden önce belirleyip hafifletme yetkisi arasında bir denge kurmasına olanak tanıyan yeni bir zihniyet var." Adam.
Çalışma, Yetersiz Bulut Yerel Araçların Etkisini Ortaya Çıkarıyor
Mayıs ayında, bulutta yerel AppSec çözümleri sağlayıcısı Backslash Security, "Yetişme Döngüsünü Kırmak: Yeni Bulutta Yerel AppSec Paradigma Anketi Raporu" başlıklı bir çalışma yayınladı. Bulutta yerel uygulama geliştirmenin yükselişinden bu yana uygulama güvenliğinin nasıl geliştiğini araştırıyor.Çalışma, olgun bulut yerel uygulama geliştirme ortamlarına sahip 1.000 veya daha fazla çalışanı olan kurumsal kuruluşlardaki CISO'ların, AppSec yöneticilerinin ve AppSec mühendislerinin uygulamalarını, araçlarını ve ihtiyaçlarını incelemektedir. Sonuçlar, AppSec uzmanlarının %85'inin gerçek riskler ile gürültüyü ayırt etme yeteneğinin kritik olduğunu söylediğini gösteriyor. Bugün sadece %38'i bunu yapabiliyor.Araştırmacılara göre, olgun DevOps kuruluşları, bulutta yerel araçların olmaması nedeniyle yaygın bir etkiden bahsediyor. AppSec ekipleri, giderek artan hızlı, çevik geliştirme hızına ayak uyduramayan ve sonsuz ve verimsiz bir güvenlik açığı takibi yoluyla güvenlik savunması oynayan bir yakalama döngüsüne sıkışmış durumda."Yetersiz bulut yerel araçları, AppSec ekipleri ve geliştiriciler arasındaki sürtüşmenin temel nedenidir. Backslash Security CEO'su ve kurucu ortağı Shahar Man TechNewsWorld'e verdiği demeçte, "Mevcut nesil AppSec araçları, geliştirici ekiplerinin uyarılara göre hareket etmesi için gereken kanıt düzeyini bildirme yeteneğinden yoksundur."AppSec Oyun Savunması
Rapora göre, ankete katılanların %58'i zamanlarının %50'sinden fazlasını güvenlik açıklarını kovalayarak geçirdiğini bildirirken, şaşırtıcı bir şekilde %89'u zamanlarının en az %25'ini bu savunma modunda geçiriyor. Dünyanın dört bir yanında işletmeler bu maliyetli savunma vergisinin kurbanı oluyor.Yılda 1,2 milyon doları aştığı tahmin edilen sözde vergi, kapsamlı bir bulut yerel AppSec programını yürütmek yerine güvenlik açıklarını kovalayan AppSec mühendislerini çalıştırmanın maliyetidir. Man, uygulama güvenliği ekiplerinin, kodu buluta hızla dağıtan, hızı giderek artan geliştirme ekiplerine ayak uydurmakta zorlandığından şikayet etti.Önemli bir sorun, araçlarının modasının geçmiş olması, diye teklif etti. AppSec ekiplerinin işlerini başarıyla yapmalarını sağlamak için kritik önem taşıyan bulut bağlamından yoksundurlar. Ayrıca, mevcut uygulama güvenlik araçları, aşırı sayıda düşük değerli uyarılar üreterek sorunu daha da kötüleştiriyor.Man, AppSec ekiplerinin modernize edilmiş, bulut tabanlı araçlarla donatılması gerektiğini vurguladı. AppSec uzmanlarının elindeki mevcut araçlarla ilgili en yaygın şikayetler şaşırtıcı değil. AppSec çalışanları, geleneksel araçlarının gürültülü olduğunu ve bulguları önceliklendirmenin çok zaman alıcı olduğunu iddia ediyor."Bununla birlikte, AppSec profesyonellerinin günlük işleri için en önemli olan bulutta yerel yetenekler konusunda oldukça uyumlu olduklarını gördük. Modern AppSec'in temel yönleri, AppSec riskinin uygulamanın dış dünyaya maruz kalmasıyla otomatik olarak korelasyonudur," diye açıkladı Man.Katılımcıların büyük bir çoğunluğu (%91) bunun önemli olduğunu söyledi. Genel kod zayıflıkları ve kritik güvenlik açıkları konusunda fikir birliği olmaması nedeniyle AppSec ile geliştiriciler arasında artan bir sürtüşme var. Ayrıca, yanıt verenlerin %82'si bulut yerel uygulama tehdit modellerinin uçtan uca görselleştirilmesinin önemini vurguladı.
Çatlağı Dolduran Eylem Eksikliği
Bildirilen çok sayıda yanlış pozitif ile birleştiğinde, AppSec ekipleri geliştiricilerin gözünde güvenilirliğini kaybeder. Bu rapor için bulutta yerel araçların bulunmamasının etkisi hakkında bir anket yapıldığında, yanıt verenler AppSec/dev anlaşmazlığının bir numaralı sorun olduğunu ve ardından dev ve AppSec yeteneklerinin elde tutulmasını gösterdi.Man, "Açıkçası, AppSec ekipleri neye ihtiyaçları olduğunu biliyor, ancak daha büyük soru, sektörün onlara bunu vermeye hazır olup olmadığı," diye meydan okudu.Örneğin, AppSec uzmanlarının ezici bir çoğunluğu (%85) gerçek kod risklerini düşük riskli sorunlardan ayırt edebilmeyi istiyor, bu da onu en önemli bulut yerel yeteneği yapıyor. Ancak yalnızca %38'i mevcut araç setini kullanarak bunu tam olarak yapabilir. "Bu devasa etkinleştirme boşlukları, temel bulutta yerel yeteneklere yayılıyor" dedi.Gerginlikleri Azaltmak İçin Pining
Man, AppSec ekiplerinin en çok istediği şeylerden birinin geliştirici meslektaşlarıyla iyi çalışmak olduğunu ekledi - bu, anket boyunca ortaya çıkan temel bir endişe. Her AppSec rolünün, bulutta yerel araçların eksikliğinin AppSec/devs ilişkileri arasında artan sürtüşmeyi nasıl etkilediği konusunda kendi bakış açısı vardır.Örneğin, AppSec mühendisleri günlerinin çoğunu siperlerde geçirirler. En çok geliştirici yeteneklerini elde tutma konusunda endişeleniyorlar. Ancak yöneticileri en çok AppSec yeteneklerini elde tutmakla ilgileniyor. Bu arada, denklemin her iki tarafını da en üst düzeyde gören CISO'lar, iki takım arasındaki sürtüşmeden endişe duyarlar.Ayrıca, Man'e göre, AppSec ve dev'in birlikte iyi çalışmasını sağlayan eksik bulut yerel yetenekleri de dikkate değer. Anket, özellikle eksik olduklarını açıkladı.Örneğin, yanıt verenlerin %78'i güvenlik bulgularını düzeltmeden sorumlu geliştirme ekibiyle ilişkilendirmenin çok önemli olduğunu söyledi. Ancak şu anda yalnızca %43'ü bunu yapmak için tam olarak etkinleştirildi.Çalışma, Dev ve AppSec arasındaki etkili önceliklendirmenin %73'e karşı %42 oranında benzer olduğunu gösterdi.Maliyetli SonuçlarMan, sonuçlardaki en büyük sürprizlerden birinin, yetersiz araçlara atfedilen AppSec zamanının boşa harcanması olduğunu itiraf etti. Bu verimsizlik şirketlere çok pahalıya mal oluyor.“Savunma oynamanın maliyeti, yani savunma vergisi çok büyük. İhtiyatlı tahminler, ortalama bir işletmenin boşa harcanan AppSec zamanı maliyetinin yılda 1 milyon doların üzerinde olduğunu gösteriyor” dedi.Bu tahmin, ortalama AppSec çalışan maaşlarına ve AppSec ekip boyutuna dayanmaktadır. Man, söz konusu kuruluşun uygulamalarını yetersiz bir şekilde güvence altına almanın maliyetini hesaba katmadığı için bu hesaplamanın başarısız olduğunu ekledi.Temel Çıkarımlar Yeni Pazar Yönünü Gösteriyor
Yanıt verenlerin yarısından biraz daha azı kuruluşlarının günde en az bir kez kod gönderdiklerini bildirdi. Geliştiricilerin hızı giderek artıyor."Ekipler, yetişemedikleri ve sürekli bir yakalama oyunu içinde sıkışıp kaldıkları için geleneksel AppSec araçlarına olan inançlarını kaybediyorlar. Etkisi çok geniş, kuruluşların büyük çoğunluğu yetersiz bulut tabanlı AppSec araçlarının yaygın etkisini görüyor,” dedi Man."İnsan" etkisinin özellikle önemli olduğunu da sözlerine ekledi. Temel çıkarım, AppSec endüstrisinin önemli bir değişime hazır olduğu ve bulutu anlamak için özel olarak oluşturulmuş araçları hak ettiğidir.Man, yeni bir güvenlik yaklaşımı olan uygulama güvenliği duruşu yönetiminin (ASPM) AppSec ekiplerine daha fazla kontrol sağladığına ve uygulamalarının güvenlik duruşunu iyileştirdiğine inanıyor."Son olarak, uygulama güvenliği duruşuna bütünsel bir bakış sağlayan ve AppSec'in 'sola kaydırma' zihniyeti ile güvenlik açıklarını istismar edilmeden önce belirleyip hafifletme yetkisi arasında bir denge kurmasına olanak tanıyan yeni bir zihniyet var." Adam.