Tel Aviv, 17 Mayıs 2023 – Ters eğik çizgi Güvenliğikurumsal AppSec ekipleri için yeni bulutta yerel uygulama güvenliği çözümü olan , bugün yeni bir araştırma çalışması yayınladı, Yetişme Döngüsünü Kırmak: Yeni Bulut Yerel AppSec Paradigma Anketi Raporu, bulutta yerel uygulama geliştirmenin artmasıyla uygulama güvenliği durumunun nasıl geliştiğini keşfediyor. Çalışma, olgun bulut yerel uygulama geliştirme ortamlarına sahip 1.000 veya daha fazla çalışanı olan kurumsal kuruluşlardaki CISO’ların, AppSec yöneticilerinin ve AppSec mühendislerinin uygulamalarını, araçlarını ve ihtiyaçlarını incelemektedir.
Çalışma, AppSec ekiplerinin bir yakalama döngüsünde sıkışıp kaldıklarını, giderek artan hızlı, çevik geliştirme hızına ayak uyduramadıklarını ve sonsuz ve verimsiz bir güvenlik açığı takibi yoluyla güvenlik savunması oynadıklarını ortaya koyuyor. Dikkate değer bir şekilde, yanıt verenlerin %58’i zamanlarının %50’sinden fazlasını güvenlik açıklarını kovalayarak geçirdiğini ve şok edici bir %89’unun zamanlarının en az %25’ini bu savunma modunda geçirdiğini bildirdi. Kapsamlı bir bulut yerel AppSec programını yürütmek yerine güvenlik açıklarını kovalayan AppSec mühendislerini çalıştırmanın maliyeti olan bu maliyetli “savunma vergisinin” yılda 1,2 milyon doları aştığı tahmin ediliyor.
Her büyüklükteki kuruluşta artan dijital inovasyon hızı ve AppSec ile CloudSec arasındaki bulanık çizgiler göz önüne alındığında, kurumsal AppSec ekipleri bulut hızına yetişemeyen çözümlerle uğraşıyor. Sonuç olarak, AppSec uzmanları, geçerli AppSec araçlarına olan inançlarını kaybediyor:
- Neredeyse tüm kuruluşlar, AppSec ve geliştirme ekipleri arasında artan sürtüşme (%39), riske giren gelir elde etme yeteneği (%39) ve yüksek değerli geliştirici yeteneklerini elde tutamama dahil olmak üzere, bulutta yerel AppSec araçlarının bulunmamasının yaygın bir etkisini görüyor. (%38) ve AppSec yeteneği (%35);
- Yanıt verenlerin %94’ü, günümüzün AppSec teknolojileriyle ilgili birden çok sorundan bahsetti; en çok şikayet edilenler bulgulara öncelik vermek için harcanan önemli miktarda zaman (%48) ve mevcut AppSec araçlarının gürültülü olmasıdır (%45);
- SAST ve DAST hızla geriliyor ve yanıt verenlerin yalnızca %32’si bu geçerli standartlardan herhangi birini kapsamlı bir şekilde kullandıklarını belirtiyor.
Rapor acil bir ihtiyacın altını çiziyor. bulutta yerel AppSec başarısı için modern bir standarda giden net bir yol gösteren yeni AppSec paradigması, tüm mikro hizmetlerin uçtan uca görselleştirilmesi, gerçek risklerin otomatik olarak tanımlanması ve önceliklendirilmesi ve akıllı önceliklendirme ve iyileştirme ile karakterize edilir. Modern AppSec’in bu üç temel ilkesinin önemini değerlendirirken:
- %82’si, tehdit modeli görselleştirmesini otomatikleştirmenin, AppSec ekiplerinin bulutta yerel uygulama risklerini analiz ederek zamandan ve el emeğinden tasarruf etmesine yardımcı olacağı konusunda hemfikir;
- %91’i, uygulama güvenlik risklerini, açık API’ler aracılığıyla olduğu gibi, uygulamanın dış dünyaya maruz kalmasıyla ilişkilendirmenin önemli olduğuna inanıyor;
- %91’i genel kod zayıflıkları ile kritik güvenlik açıkları arasında ayrım yapmanın önemli olduğuna inanıyor;
- Bu yeni bulut tabanlı AppSec paradigmasını tanımlayan toplam dokuz yetenekten sekizi, yanıt verenlerin %70’inden fazlası tarafından “kritik” veya “önemli” olarak derecelendirildi.
Bununla birlikte, AppSec endüstrisi, büyük bir bulut yerel etkinleştirme açığından muzdariptir. Ankete katılanlar, en kritik yeteneklerin tamamında etkinleştirmenin büyük ölçüde eksik olduğunu bildirdi:
- Yanıt verenlerin %85’i, gerçek riskler ile gürültüyü ayırt etme yeteneğinin başarıları için kritik olduğunu ve bu yeteneğin #1 numaralı yetenek olduğunu söylüyor; yine de yanıt verenlerin yalnızca %38’i bunu yapabilir;
- Bu eğilim, “güvenlik bulgularını düzeltmeden sorumlu geliştirici veya geliştirme ekibiyle ilişkilendirme” (%78’e karşı %43) dahil olmak üzere baştan sona devam ediyor; “uygunluk standartlarını karşılama” (%78’e karşı %38); ve “Geliştirme ve AppSec arasında verimli önceliklendirme” (%73’e karşı %42).
Kurucu ortak Shahar Man, “Genel olarak duyduğumuz şey bir aciliyet mesajı – yeni, bulut tabanlı bir gerçekliğe girdik ve AppSec yakalama oyununa son vermenin zamanı geldi” dedi. ve Backslash’in CEO’su. “Bu modası geçmiş AppSec metodolojileri, hem AppSec hem de dev ekipleri için üretkenliği, yeniliği ve yetenekleri elde tutmayı engelliyor. Bulutta yerel uygulama geliştirme paradigması, uygulama güvenliğine yönelik, geliştirme ve AppSec ekipleri arasındaki sürtüşmeyi önemli hale getirecek yeni, birleşik bir yaklaşım gerektiriyor.” geçmiş, işletmelerin değerli yetenekleri elinde tutmasına ve inovasyonu ve büyümeyi hızlandırmasına olanak tanır.”
Bu rapor, 1.000 veya daha fazla çalışanı olan ABD şirketlerinden CISO’lar, AppSec yöneticileri ve AppSec mühendisleri arasında eşit olarak bölünmüş, kuruluşları için özel olarak uygulama güvenliği ile görevlendirilmiş 300 güvenlik uzmanıyla anket yaptı. Şirketler çok çeşitli endüstrileri temsil eder.
buraya tıklayın raporu indirmek ve daha fazla bilgi edinmek için.
Ters Bölü Güvenliği Hakkında
Backslash, kurumsal AppSec ekipleri için bulutta yerel kod riskine birleşik güvenlik ve iş bağlamı sağlamanın yanı sıra uygulamalar ve ekipler arasında otomatikleştirilmiş tehdit modelleme, kod riski önceliklendirme ve basitleştirilmiş iyileştirme sağlayan ilk Bulutta Yerel Uygulama Güvenliği çözümüdür.
Backslash ile AppSec ekipleri, bulut yerel uygulamalarında kritik toksik kod akışlarını görebilir ve bunlara göre kolayca harekete geçebilir; ilgili bulut bağlamına göre kod risklerini hızla önceliklendirin;
ve geliştiricilerin sürecin sahipliğini üstlenmeleri için ihtiyaç duydukları kanıtı sağlayarak MTTR’yi (ortalama kurtarma süresi) önemli ölçüde azalttı.
StageOne Ventures, First Rays Venture Partners, D. E. Shaw & Co. ve teknoloji girişimcisi ve yatırımcı da dahil olmak üzere melek yatırımcı olarak eski güvenlik görevlileri listesi tarafından desteklenmektedir. Shlomo Kramer, Ron Zoran (CyberArk’ın eski CRO’su) ve Brian Fielder (Microsoft’ta Kurumsal Güvenlikten Sorumlu Genel Müdür), ters eğik çizgi önde gelen teknoloji kuruluşlarında ve Fortune 100 şirketlerinde devreye alındı.
Daha fazla https://www.backslash.security/.