Según un informe reciente de seguridad de la industria del software, existe un aumento notable en la tensión entre los trabajadores de seguridad de aplicaciones (AppSec) y los desarrolladores de aplicaciones por el consenso sobre las necesidades nativas de la nube. Además, existe una creciente preocupación por retener el talento de los desarrolladores en este contexto.
El problema fundamental radica en la insuficiencia de las herramientas tradicionales de AppSec para entornos de nube. Como resultado, los equipos de AppSec se enfrentan diariamente a las repercusiones de la falta de herramientas nativas de la nube apropiadas. Esta situación en curso provoca fricciones en el equipo, problemas con la retención de talentos, problemas de ingresos, disputas de reputación y pérdida de más de la mitad de su tiempo persiguiendo vulnerabilidades.
¿Las buenas noticias? Los equipos de AppSec saben lo que necesitan, y los profesionales de AppSec están abrumadoramente alineados con el aspecto que debería tener un paradigma de AppSec moderno y nativo de la nube. Sin embargo, a pesar de este entendimiento, solo un número limitado de equipos tiene las capacidades necesarias para cumplir con estos requisitos de manera efectiva.
Un estudio revela el efecto de las herramientas nativas de la nube inadecuadas
En mayo, el proveedor de soluciones AppSec nativo de la nube Seguridad de barra invertida publicó un estudio titulado «Rompiendo el ciclo de actualización: el nuevo informe de encuesta de paradigma AppSec nativo de la nube». Explora cómo ha evolucionado la seguridad de las aplicaciones desde el surgimiento del desarrollo de aplicaciones nativas de la nube.
El estudio examina las prácticas, las herramientas y las necesidades de los CISO, los administradores de AppSec y los ingenieros de AppSec en organizaciones empresariales de 1000 o más empleados con entornos maduros de desarrollo de aplicaciones nativas de la nube. Los resultados muestran que el 85 % de los profesionales de AppSec dijeron que la capacidad de diferenciar entre los riesgos reales y el ruido es fundamental. Solo el 38% puede hacerlo hoy.
Según los investigadores, las organizaciones maduras de DevOps mencionan un impacto generalizado debido a la falta de herramientas nativas de la nube. Los equipos de AppSec están atrapados en un ciclo de recuperación, incapaces de mantenerse al día con el ritmo de desarrollo cada vez más rápido y ágil y juegan a la defensa de la seguridad a través de una persecución de vulnerabilidades interminable e improductiva.
“Las herramientas nativas de la nube inadecuadas son una de las principales causas de fricción entre los equipos y los desarrolladores de AppSec. Las herramientas de AppSec de generación actual carecen de la capacidad de informar el nivel de evidencia requerido para que los equipos de desarrollo actúen sobre las alertas ”, dijo a TechNewsWorld el CEO y cofundador de Backslash Security, Shahar Man.
AppSec jugando a la defensa
En particular, mientras que el 58% de los encuestados informan que pasan más del 50% de su tiempo persiguiendo vulnerabilidades, un sorprendente 89% pasa al menos el 25% de su tiempo en este modo defensivo, según el informe. A lo largo y ancho, las empresas son víctimas de este costoso impuesto defensivo.
El llamado impuesto, estimado en más de $1.2 millones anuales, es el costo de emplear ingenieros de AppSec que persiguen vulnerabilidades en lugar de impulsar un programa completo de AppSec nativo de la nube. Los equipos de seguridad de aplicaciones luchan por mantenerse al día con los equipos de desarrollo cada vez más rápidos que implementan rápidamente el código en la nube, se quejó Man.
Un problema importante es que sus herramientas están desactualizadas, ofreció. Carecen del contexto de la nube fundamental para permitir que los equipos de AppSec hagan su trabajo con éxito. Además, las herramientas de seguridad de las aplicaciones actuales exacerban el problema al generar un número excesivo de alertas de bajo valor.
Man instó a los equipos de AppSec a estar equipados con herramientas modernas y nativas de la nube. Las quejas más comunes sobre las herramientas actuales que tienen a su disposición los profesionales de AppSec no son una sorpresa. Los trabajadores de AppSec afirman que sus herramientas tradicionales son ruidosas y hacen que priorizar los hallazgos consuma demasiado tiempo.
“Dicho esto, hemos descubierto que los profesionales de AppSec están muy alineados con las capacidades nativas de la nube que son más importantes para su día a día. Los aspectos centrales de AppSec moderno son la correlación automática del riesgo de AppSec con la exposición de la aplicación al mundo exterior”, explicó Man.
Una gran mayoría de los encuestados (91%) dijo que esto es importante. Existe una creciente fricción entre AppSec y los desarrolladores debido a la falta de consenso sobre las debilidades generales del código y las vulnerabilidades críticas. Además, el 82 % de los encuestados destacó la importancia de la visualización integral de los modelos de amenazas de aplicaciones nativas de la nube.
Falta de acción alimentando la grieta
Combinado con el gran volumen de falsos positivos informados, los equipos de AppSec terminan perdiendo credibilidad ante los ojos de los desarrolladores. Cuando se les preguntó sobre el impacto de la falta de herramientas nativas de la nube para este informe, los encuestados mencionaron la creciente fricción AppSec/dev como el problema número uno, seguido de la retención del talento de los desarrolladores y AppSec.
“Claramente, los equipos de AppSec saben lo que necesitan, pero la pregunta más importante es si la industria está lista para dárselo”, desafió Man.
Por ejemplo, una abrumadora mayoría (85 %) de los profesionales de AppSec desean tener la capacidad de diferenciar los riesgos reales del código de los problemas de bajo riesgo, lo que la convierte en la capacidad nativa de la nube más crucial. Pero solo el 38 % está completamente habilitado para hacerlo con su conjunto de herramientas actual.
“Estas brechas de habilitación masivas se extienden a través de las capacidades nativas de la nube”, señaló.
Suspirando por aliviar las tensiones
Man agregó que una de las cosas que más desean los equipos de AppSec es trabajar bien con sus contrapartes de desarrollo, una preocupación central que surgió a lo largo de la encuesta. Cada función de AppSec tiene su propia perspectiva sobre cómo la falta de herramientas nativas de la nube afecta la creciente fricción entre las relaciones AppSec/devs.
Por ejemplo, los ingenieros de AppSec pasan mucho tiempo en las trincheras. Lo que más les preocupa es retener el talento de los desarrolladores. Pero sus gerentes están más preocupados por retener el talento de AppSec. Mientras tanto, los CISO, con su visión de alto nivel de ambos lados de la ecuación, se preocupan por la fricción entre los dos equipos.
También cabe destacar, según Man, las capacidades nativas de la nube que faltan que permiten que AppSec y el desarrollo trabajen bien juntos. Son notablemente escasos, reveló la encuesta.
Por ejemplo, el 78% de los encuestados dijo que es esencial correlacionar los hallazgos de seguridad con el equipo de desarrollo responsable de la solución. Pero solo el 43% está completamente habilitado para hacer esto ahora.
El estudio mostró que la clasificación eficiente entre Dev y AppSec es similar al 73 % frente al 42 %.
Consecuencias costosas
Man confió que una de las mayores sorpresas en los resultados fue el gran volumen de tiempo de AppSec desperdiciado atribuido a herramientas inadecuadas. Esa ineficiencia está costando inmensamente a las empresas.
“El costo de jugar a la defensiva, también conocido como el impuesto defensivo, es importante. Las estimaciones conservadoras sitúan el costo promedio de la empresa por el tiempo de AppSec desperdiciado en más de $ 1 millón por año”, ofreció.
Esa estimación se basa en los salarios promedio de los empleados de AppSec y el tamaño del equipo de AppSec. Ese cálculo no tiene en cuenta el costo de asegurar inadecuadamente las aplicaciones de la empresa dada, agregó Man.
Los puntos clave muestran la nueva dirección del mercado
Un poco menos de la mitad de los encuestados informaron que sus organizaciones insertan código al menos una vez al día. El ritmo de los desarrolladores está aumentando constantemente.
“Los equipos están perdiendo la fe en las herramientas tradicionales de AppSec, ya que no pueden mantenerse al día y están atrapados en un juego perpetuo de ponerse al día. El impacto es de gran alcance, ya que la gran mayoría de las organizaciones ven el impacto generalizado de las herramientas inadecuadas de AppSec nativas de la nube”, dijo Man.
El impacto de la “gente” es particularmente significativo, agregó. La conclusión principal es que la industria de AppSec está lista para un cambio sustancial y merece herramientas creadas explícitamente para comprender la nube.
Man cree que la gestión de la postura de seguridad de las aplicaciones (ASPM), un nuevo enfoque de seguridad, brinda a los equipos de AppSec más control y mejora la postura de seguridad de sus aplicaciones.
“Finalmente, hay una nueva mentalidad, una que proporciona una visión holística de la postura de seguridad de la aplicación, lo que permite que AppSec logre un equilibrio entre una mentalidad de ‘cambio a la izquierda’ y estar facultado para identificar y mitigar las vulnerabilidades antes de que puedan ser explotadas”, concluyó. Hombre.