De acordo com um recente relatório de segurança da indústria de software, há um aumento notável na tensão entre os trabalhadores de segurança de aplicativos (AppSec) e os desenvolvedores de aplicativos sobre o consenso sobre as necessidades nativas da nuvem. Além disso, há uma preocupação crescente em reter o talento do desenvolvedor nesse contexto.
A questão fundamental reside na inadequação das ferramentas AppSec tradicionais para ambientes de nuvem. Como resultado, as equipes de AppSec lidam diariamente com as repercussões da falta de ferramentas nativas de nuvem apropriadas. Essa situação contínua causa atrito na equipe, problemas com retenção de talentos, preocupações com receita, disputas de reputação e desperdício de mais da metade do tempo perseguindo vulnerabilidades.
As boas notícias? As equipes de AppSec sabem do que precisam, e os profissionais de AppSec estão extremamente alinhados em como deve ser um paradigma de AppSec moderno e nativo da nuvem. No entanto, apesar desse entendimento, apenas um número limitado de equipes possui as capacidades necessárias para atender a esses requisitos de maneira eficaz.
Estudo revela efeito de ferramentas nativas da nuvem inadequadas
Em maio, o provedor de soluções AppSec nativas em nuvem Segurança de barra invertida lançou um estudo intitulado “Breaking the Catch-up Cycle: The New Cloud-Native AppSec Paradigm Survey Report”. Ele explora como a segurança de aplicativos evoluiu desde o surgimento do desenvolvimento de aplicativos nativos da nuvem.
O estudo examina as práticas, ferramentas e necessidades de CISOs, gerentes de AppSec e engenheiros de AppSec em organizações empresariais de 1.000 ou mais funcionários com ambientes maduros de desenvolvimento de aplicativos nativos da nuvem. Os resultados mostram que 85% dos profissionais de AppSec disseram que a capacidade de diferenciar entre riscos reais e ruído é crítica. Apenas 38% podem fazê-lo hoje.
De acordo com os pesquisadores, as organizações DevOps maduras citam o impacto generalizado devido à falta de ferramentas nativas da nuvem. As equipes de AppSec estão presas em um ciclo de recuperação, incapazes de acompanhar o ritmo de desenvolvimento cada vez mais rápido e ágil e jogando na defesa da segurança por meio de uma busca interminável e improdutiva de vulnerabilidades.
“Ferramentas nativas de nuvem inadequadas são uma causa raiz de atrito entre equipes e desenvolvedores de AppSec. As ferramentas AppSec de geração atual não têm a capacidade de relatar o nível de evidência necessário para que as equipes de desenvolvimento atuem em alertas”, disse Shahar Man, CEO e cofundador da Backslash Security, ao TechNewsWorld.
AppSec Jogando na Defesa
Notavelmente, enquanto 58% dos entrevistados relatam gastar mais de 50% de seu tempo perseguindo vulnerabilidades, chocantes 89% gastam pelo menos 25% de seu tempo neste modo defensivo, de acordo com o relatório. Em toda parte, as empresas são vítimas desse dispendioso imposto defensivo.
O chamado imposto, estimado em mais de US$ 1,2 milhão por ano, é o custo de empregar engenheiros de AppSec que perseguem vulnerabilidades em vez de conduzir um programa abrangente de AppSec nativo da nuvem. As equipes de segurança de aplicativos estão lutando para acompanhar as equipes de desenvolvimento cada vez mais rápidas que estão implantando códigos rapidamente na nuvem, reclamou Man.
Um problema significativo é que suas ferramentas estão desatualizadas, disse ele. Eles não têm o contexto de nuvem crítico para permitir que as equipes de AppSec façam seus trabalhos com sucesso. Além disso, as atuais ferramentas de segurança de aplicativos agravam o problema ao gerar um número excessivo de alertas de baixo valor.
Man insistiu que as equipes AppSec precisam ser equipadas com ferramentas modernizadas e nativas da nuvem. As reclamações mais comuns sobre as ferramentas atuais que os profissionais de AppSec têm à sua disposição não são surpresa. Os funcionários da AppSec afirmam que suas ferramentas tradicionais são barulhentas e tornam as descobertas prioritárias muito demoradas.
“Dito isso, descobrimos que os profissionais de AppSec estão muito alinhados com os recursos nativos da nuvem que são mais importantes para o dia a dia. Os principais aspectos do AppSec moderno são a correlação automática do risco do AppSec com a exposição do aplicativo ao mundo exterior”, explicou Man.
A grande maioria dos entrevistados (91%) disse que isso é importante. Há um atrito crescente entre o AppSec e os desenvolvedores devido à falta de consenso sobre as fraquezas gerais do código e vulnerabilidades críticas. Além disso, 82% dos entrevistados destacaram a importância da visualização de ponta a ponta dos modelos de ameaças de aplicativos nativos da nuvem.
Falta de ação alimentando o Rift
Aliado ao grande volume de falsos positivos relatados, as equipes de AppSec acabam perdendo credibilidade aos olhos dos desenvolvedores. Quando questionados sobre o impacto da falta de ferramentas nativas da nuvem para este relatório, os entrevistados citaram o crescente atrito AppSec/dev como o problema número um, seguido pela retenção de talentos de desenvolvimento e AppSec.
“Claramente, as equipes de AppSec sabem do que precisam, mas a grande questão é se a indústria está pronta para dar a eles”, desafiou Man.
Por exemplo, uma esmagadora maioria (85%) dos profissionais de AppSec deseja a capacidade de diferenciar riscos reais de código de problemas de baixo risco, tornando-o o recurso nativo de nuvem mais importante. Mas apenas 38% estão totalmente habilitados para fazer isso usando seu conjunto de ferramentas atual.
“Essas enormes lacunas de capacitação se estendem aos principais recursos nativos da nuvem”, observou ele.
Anseio por aliviar as tensões
Man acrescentou que uma das coisas que as equipes de AppSec mais desejam é trabalhar bem com seus colegas de desenvolvimento – uma preocupação central que surgiu durante a pesquisa. Cada função AppSec tem sua própria perspectiva sobre como a falta de ferramentas nativas da nuvem afeta o crescente atrito entre as relações AppSec/devs.
Por exemplo, os engenheiros da AppSec passam muito tempo nas trincheiras. Eles se preocupam mais em reter o talento do desenvolvedor. Mas seus gerentes estão mais preocupados em reter o talento da AppSec. Enquanto isso, os CISOs, com sua visão de alto nível dos dois lados da equação, se preocupam com o atrito entre as duas equipes.
Também digno de nota, de acordo com Man, são os recursos nativos da nuvem ausentes que permitem que AppSec e dev funcionem bem juntos. Eles estão notavelmente ausentes, revelou a pesquisa.
Por exemplo, 78% dos entrevistados disseram que correlacionar as descobertas de segurança com a equipe de desenvolvimento responsável pela correção é essencial. Mas apenas 43% estão totalmente habilitados para fazer isso agora.
O estudo mostrou que a triagem eficiente entre Dev e AppSec é semelhante em 73% vs. 42%.
Consequências caras
Man confidenciou que uma das maiores surpresas nos resultados foi o grande volume de tempo desperdiçado em AppSec atribuído a ferramentas inadequadas. Essa ineficiência está custando muito às empresas.
“O custo de jogar na defesa, também conhecido como imposto defensivo, é alto. Estimativas conservadoras colocam o custo médio do desperdício de tempo de AppSec da empresa em mais de US$ 1 milhão por ano”, ele ofereceu.
Essa estimativa é baseada nos salários médios dos funcionários da AppSec e no tamanho da equipe da AppSec. Esse cálculo não leva em conta o custo de proteger inadequadamente os aplicativos da empresa em questão, acrescentou Man.
Principais conclusões mostram a nova direção do mercado
Pouco menos da metade dos entrevistados relataram que suas organizações enviam código pelo menos uma vez por dia. O ritmo dos desenvolvedores está aumentando constantemente.
“As equipes estão perdendo a fé nas ferramentas AppSec tradicionais, pois não conseguem acompanhar e ficam presas em um jogo perpétuo de atualização. O impacto é de longo alcance, com a grande maioria das organizações vendo o impacto generalizado de ferramentas inadequadas de AppSec nativas da nuvem”, disse Man.
O impacto nas “pessoas” é particularmente significativo, acrescentou. A conclusão principal é que o setor de AppSec está pronto para uma mudança substancial e merece ferramentas criadas explicitamente para entender a nuvem.
Man acredita que o gerenciamento de postura de segurança de aplicativos (ASPM) — uma nova abordagem de segurança — oferece às equipes de AppSec mais controle e melhora a postura de segurança de seus aplicativos.
“Finalmente, há uma nova mentalidade, que fornece uma visão holística da postura de segurança do aplicativo, permitindo que a AppSec encontre um equilíbrio entre uma mentalidade de ‘deslocar para a esquerda’ e ter o poder de identificar e mitigar vulnerabilidades antes que elas possam ser exploradas”, concluiu Homem.
