As equipes da AppSec estão presas em um ciclo de recuperação, incapazes de acompanhar o ritmo de desenvolvimento cada vez mais rápido e ágil e jogando a defesa de segurança por meio de uma perseguição de vulnerabilidade interminável e improdutiva, de acordo com a Backslash Security.
“Imposto defensivo” dispendioso
Notavelmente, 58% dos entrevistados relatam gastar mais de 50% de seu tempo perseguindo vulnerabilidades, com um chocante 89% gastando pelo menos 25% de seu tempo nesse modo defensivo.
De longe, as empresas são vítimas desse caro “imposto defensivo”: o custo de empregar engenheiros da AppSec que perseguem vulnerabilidades em vez de conduzir um programa abrangente de AppSec nativo da nuvem é estimado em mais de US$ 1,2 milhão anualmente.
Problemas de tecnologias AppSec
Dado o ritmo acelerado da inovação digital em empresas de todos os tamanhos e as linhas borradas entre o AppSec e o CloudSec, as equipes corporativas do AppSec estão sobrecarregadas com soluções que não alcançaram o ritmo da nuvem. Como resultado, os profissionais da AppSec estão perdendo a fé nas ferramentas predominantes da AppSec:
- Quase todas as organizações estão vendo um impacto generalizado da falta de ferramentas AppSec nativas da nuvem, incluindo o crescente atrito entre AppSec e equipes de desenvolvimento (39%), capacidade comprometida de gerar receita (39%) e incapacidade de reter talentos de desenvolvimento de alto valor (38%) e talentos AppSec (35%);
- 94% dos entrevistados citaram vários problemas com as tecnologias AppSec atuais; As principais reclamações foram a quantidade considerável de tempo gasto priorizando descobertas (48%) e que as ferramentas AppSec existentes são barulhentas (45%).
- SAST e DAST estão perdendo terreno rapidamente, com apenas 32% dos entrevistados afirmando que usam qualquer um desses padrões prevalecentes extensivamente;
Três princípios-chave do AppSec moderno
The report emphasizes the urgent need for a new AppSec paradigm that maps a clear path to a modern standard for cloud-native AppSec success, characterized by end-to-end visualization of all microservices, automatic identification and prioritization of real risks, and intelligent triaging and remediation.
In assessing the importance of these three key tenets of modern AppSec:
- 82% concordam que automatizar a visualização do modelo de ameaças ajudará o AppSec Teams a economizar tempo e trabalho manual analisando riscos de aplicativos nativos da nuvem;
- 91% acreditam que correlacionar os riscos de segurança do aplicativo com a exposição do aplicativo ao mundo exterior, como por meio de APIs abertas, é importante;
- 91% acreditam que diferenciar entre fraquezas gerais do código e vulnerabilidades críticas é importante;
- Oito dos nove recursos totais que definem esse novo paradigma AppSec nativo da nuvem foram classificados como “críticos” ou “importantes” por 70% + dos entrevistados.
Metodologias AppSec desatualizadas prejudicam a produtividade
No entanto, o setor de AppSec sofre com uma enorme lacuna de habilitação nativa da nuvem. Em todos os recursos mais críticos, os entrevistados relataram que a capacitação é extremamente insuficiente:
- 85% dos entrevistados dizem que a capacidade de diferenciar entre riscos reais e ruído é fundamental para seu sucesso, tornando-se a capacidade #1 mais importante; no entanto, apenas 38% dos inquiridos estão habilitados a fazê-lo;
- Essa tendência persiste por toda parte, incluindo “correlacionar as descobertas de segurança com o desenvolvedor ou a equipe de desenvolvimento responsável pela correção” (78% vs. 43%); “atendimento aos padrões de conformidade” (78% vs. 38%); e “triagem eficiente entre Dev e AppSec” (73% vs. 42%).
“O que estamos ouvindo em toda a linha é uma mensagem de urgência – entramos em uma nova realidade nativa da nuvem, e é hora de acabar com o jogo de recuperação do AppSec”, disse Shahar Man, CEO da Backslash.
“Essas metodologias desatualizadas da AppSec prejudicam a produtividade, a inovação e a retenção de talentos tanto para a AppSec quanto para as equipes de desenvolvimento. O paradigma de desenvolvimento de aplicativos nativos da nuvem exige uma nova abordagem unificada para a segurança de aplicativos que tornará o atrito entre as equipes de desenvolvimento e AppSec uma coisa do passado, permitirá que as empresas retenham talentos valiosos e acelere a inovação e o crescimento”, acrescentou Man.
FONTE: HELPNET SECURITY