随着应用程序开发步伐的加快,IT 和安全团队正在对旧的应用程序安全(AppSec) 工具失去信心。
根据 Backslash 对 300 名 CISO、AppSec 经理和工程师的调查,遗留工具无法跟上并陷入永远的追赶游戏。
影响是深远的,大多数组织都看到云原生 AppSec 工具不足的广泛影响。
该报告指出,“人”的影响尤为显着,因为团队合作良好的能力以及留住关键 AppSec 和开发人才的能力与团队是否拥有现代化的云就绪工具直接相关。
最引人注目的调查结果之一是由于工具不足而浪费了大量时间,89% 的人至少浪费了四分之一的工作日(58% 的人浪费了一半以上)来寻找漏洞,而不是主动制定正确的安全策略。
其影响是广泛的,员工的挫败感、团队之间的摩擦、留住人才的问题等等。
企业还需要承担“防御”的硬成本,也就是防御税,每年可能超过 100 万美元,这甚至不考虑未充分保护给定企业应用程序的成本。
该报告得出的另一个令人担忧的结论是,云原生工具不足是 AppSec 团队与开发人员之间摩擦的根本原因。
当前一代的 AppSec 工具无法报告开发团队根据警报采取行动所需的证据级别。
再加上报告的大量误报,AppSec 团队最终在开发人员眼中失去了信誉。
当被问及缺乏云原生工具的影响时,受访者表示 AppSec/dev 摩擦不断增加是被提及的第一大问题,其次是留住开发人才和 AppSec 人才。
我们发现 AppSec 团队最想要的事情之一就是与他们的开发同行良好合作,这是整个调查过程中出现的一个核心问题。
对于追查漏洞所花费的时间,这一切都归结为一个事实,即尽管企业正在拥抱基于云的应用程序开发,但 AppSec 团队并未配备云原生工具。
他们很难跟上快速将代码部署到云中的快节奏开发团队的步伐,然后问题因应用程序安全工具而变得复杂,这些工具会产生过多的低价值警报。
对他们目前使用的工具的最大抱怨是,它们噪音很大,而且对发现的优先级进行排序花费的时间太长,导致无休止、低效且徒劳无功的漏洞追踪。
标准的 AppSec 工具根本不是为云构建的,并且缺乏对 AppSec 团队成功完成工作绝对关键的云环境。
应用程序安全态势管理 (ASPM),一种新的安全方法,为 AppSec 团队提供了更多控制权,并改善了他们应用程序的安全态势。
最后,出现了一种新的思维方式,一种提供应用程序安全态势的整体视图的思维方式,使 AppSec 能够在左移思维与被授权在漏洞被利用之前识别和缓解漏洞之间取得平衡。这就是市场的发展方向。
AppSec 专业人员已经明确表示,标准的 AppSec 工具不适用于云,他们每天都在处理后果,团队摩擦、人才保留问题、收入受到威胁和声誉下降。
AppSec 行业已准备好迎接重大变革,需要专门为理解云而构建的工具。
推动这一变革的责任应该从 CISO 和 AppSec 团队自上而下地推动到组织中:原因有两个。
首先,云安全已经向 CISO 证明,他们可以通过自给自足的方式全面了解和控制其云资产,这提高了 AppSec 的门槛,期望它也可以实现现代化,通过 AppSec 团队的完全可见性进行简化。
其次,虽然左移趋势可以通过将责任转移到开发方来帮助管理快速交付周期,但归根结底,CISO 和 AppSec 团队要负责应用程序的安全性。
因此,CISO 和 AppSec 团队应该对云应用程序安全风险有充分的了解和洞察力。