AppSec y desarrolladores chocan señalan la necesidad de un cambio de paradigma en la industria del software

Según un informe reciente sobre seguridad de la industria del software, hay un aumento notable en la tensión entre los trabajadores de seguridad de aplicaciones (AppSec) y los desarrolladores de aplicaciones sobre el consenso sobre las necesidades nativas de la nube. Además, existe una creciente preocupación por retener el talento de los desarrolladores en este contexto.

El problema fundamental radica en la insuficiencia de las herramientas tradicionales de AppSec para entornos de nube. Como resultado, los equipos de AppSec se enfrentan diariamente a las repercusiones de la falta de herramientas nativas de la nube adecuadas. Esta situación actual provoca fricciones en el equipo, problemas con la retención de talentos, preocupaciones sobre los ingresos, disputas de reputación y pérdida de más de la mitad del tiempo persiguiendo vulnerabilidades.

¿La buena noticia? Los equipos de AppSec saben lo que necesitan y los profesionales de AppSec están abrumadoramente alineados sobre cómo debería ser un paradigma de AppSec moderno y nativo de la nube. Sin embargo, a pesar de este entendimiento, sólo un número limitado de equipos tiene las capacidades necesarias para cumplir estos requisitos de manera efectiva.

Un estudio revela el efecto de las herramientas nativas de la nube inadecuadas

En mayo, el proveedor de soluciones AppSec nativas de la nube, Backslash Security, publicó un estudio titulado "Rompiendo el ciclo de recuperación: el nuevo informe de encuesta sobre el paradigma de AppSec nativa de la nube". Explora cómo ha evolucionado la seguridad de las aplicaciones desde el auge del desarrollo de aplicaciones nativas de la nube.

El estudio examina las prácticas, herramientas y necesidades de los CISO, gerentes de AppSec e ingenieros de AppSec en organizaciones empresariales de 1000 o más empleados con entornos maduros de desarrollo de aplicaciones nativas de la nube. Los resultados muestran que el 85% de los profesionales de AppSec dijeron que la capacidad de diferenciar entre riesgos reales y ruido es fundamental. Sólo el 38% puede hacerlo hoy.

Según los investigadores, las organizaciones maduras de DevOps citan un impacto generalizado debido a la falta de herramientas nativas de la nube. Los equipos de AppSec están atrapados en un ciclo de recuperación, incapaces de seguir el ritmo de desarrollo cada vez más rápido y ágil y defendiendo la seguridad a través de una interminable e improductiva búsqueda de vulnerabilidades.

“Las herramientas inadecuadas nativas de la nube son la causa fundamental de la fricción entre los equipos de AppSec y los desarrolladores. Las herramientas de AppSec de generación actual carecen de la capacidad de informar el nivel de evidencia requerido para que los equipos de desarrollo actúen ante las alertas”, dijo a TechNewsWorld el director ejecutivo y cofundador de Backslash Security, Shahar Man.

AppSec jugando a la defensa

En particular, mientras que el 58% de los encuestados afirma pasar más del 50% de su tiempo persiguiendo vulnerabilidades, un impactante 89% pasa al menos el 25% de su tiempo en este modo defensivo, según el informe. En todas partes, las empresas son víctimas de este costoso impuesto defensivo.

El llamado impuesto, estimado en más de 1,2 millones de dólares al año, es el costo de emplear ingenieros de AppSec que persiguen vulnerabilidades en lugar de impulsar un programa integral de AppSec nativo de la nube. Los equipos de seguridad de aplicaciones están luchando por mantenerse al día con los equipos de desarrollo cada vez más rápidos que están implementando rápidamente código en la nube, se quejó Man.

Un problema importante es que sus herramientas están obsoletas, afirmó. Carecen del contexto de la nube fundamental para permitir que los equipos de AppSec realicen su trabajo con éxito. Además, las herramientas de seguridad de aplicaciones actuales exacerban el problema al generar una cantidad excesiva de alertas de bajo valor.

Man instó a que los equipos de AppSec deben estar equipados con herramientas modernizadas y nativas de la nube. Las quejas más comunes sobre las herramientas actuales que los profesionales de AppSec tienen a su disposición no son una sorpresa. Los trabajadores de AppSec afirman que sus herramientas tradicionales son ruidosas y hacen que priorizar los hallazgos requiera demasiado tiempo.

“Dicho esto, hemos descubierto que los profesionales de AppSec están muy alineados con las capacidades nativas de la nube que son más importantes para su día a día. Los aspectos centrales de la AppSec moderna son la correlación automática del riesgo de AppSec con la exposición de la aplicación al mundo exterior”, explicó Man.

Una gran mayoría de los encuestados (91%) dijo que esto es importante. Existe una creciente fricción entre AppSec y los desarrolladores debido a la falta de consenso sobre las debilidades generales del código y las vulnerabilidades críticas. Además, el 82 % de los encuestados destacó la importancia de la visualización de un extremo a otro de los modelos de amenazas de aplicaciones nativas de la nube.

La falta de acción alimenta la ruptura

Combinado con el gran volumen de falsos positivos reportados, los equipos de AppSec terminan perdiendo credibilidad ante los ojos de los desarrolladores. Cuando se les preguntó sobre el impacto de la falta de herramientas nativas de la nube para este informe, los encuestados citaron la creciente fricción entre AppSec y desarrollo como el problema número uno, seguido de la retención del talento de desarrollo y AppSec.

"Claramente, los equipos de AppSec saben lo que necesitan, pero la pregunta más importante es si la industria está lista para dárselo", desafió Man.

Por ejemplo, una abrumadora mayoría (85%) de los profesionales de AppSec quieren tener la capacidad de diferenciar los riesgos reales del código de los problemas de bajo riesgo, lo que la convierte en la capacidad nativa de la nube más crucial. Pero sólo el 38% está completamente capacitado para hacerlo utilizando su conjunto de herramientas actual.

"Estas enormes brechas de habilitación se extienden a través de las capacidades básicas nativas de la nube", señaló.

Anhelando aliviar las tensiones

Man añadió que una de las cosas que más desean los equipos de AppSec es trabajar bien con sus homólogos de desarrollo, una preocupación central que surgió a lo largo de la encuesta. Cada rol de AppSec tiene su propia perspectiva sobre cómo la falta de herramientas nativas de la nube impacta la creciente fricción entre las relaciones AppSec/desarrolladores.

Por ejemplo, los ingenieros de AppSec pasan mucho tiempo en las trincheras. Lo que más les preocupa es retener el talento de los desarrolladores. Pero sus gerentes están más preocupados por retener el talento de AppSec. Mientras tanto, los CISO, con su visión de alto nivel de ambos lados de la ecuación, se preocupan por la fricción entre los dos equipos.

También es de destacar, según Man, la falta de capacidades nativas de la nube que permiten que AppSec y el desarrollo funcionen bien juntos. Son notablemente deficientes, reveló la encuesta.

Por ejemplo, el 78% de los encuestados dijo que es esencial correlacionar los hallazgos de seguridad con el equipo de desarrollo responsable de la solución. Pero ahora sólo el 43% está plenamente capacitado para hacerlo.

El estudio demostró que la clasificación eficiente entre Dev y AppSec es similar: 73 % frente a 42 %.

Consecuencias costosas

Man confió que una de las mayores sorpresas en los resultados fue la gran cantidad de tiempo perdido en AppSec atribuido a herramientas inadecuadas. Esa ineficiencia está costando inmensamente a las empresas.

“El costo de jugar a la defensiva, también conocido como el impuesto defensivo, es importante. Las estimaciones conservadoras sitúan el costo promedio de la empresa por el tiempo perdido en AppSec en más de $1 millón por año”, ofreció.

Esa estimación se basa en los salarios promedio de los empleados de AppSec y el tamaño del equipo de AppSec. Ese cálculo no tiene en cuenta el costo de proteger inadecuadamente las aplicaciones de la empresa en cuestión, añadió Man.

Las conclusiones clave muestran una nueva dirección del mercado

Un poco menos de la mitad de los encuestados informaron que sus organizaciones insertan código al menos una vez al día. El ritmo de los desarrolladores aumenta constantemente.

“Los equipos están perdiendo la fe en las herramientas tradicionales de AppSec, ya que no pueden mantenerse al día y están atrapados en un juego perpetuo de ponerse al día. El impacto es de gran alcance, y la gran mayoría de las organizaciones ven el impacto generalizado de las herramientas inadecuadas de AppSec nativas de la nube”, dijo Man.

El impacto "en las personas" es particularmente significativo, añadió. La conclusión principal es que la industria AppSec está lista para un cambio sustancial y merece herramientas creadas explícitamente para comprender la nube.

Man cree que la gestión de la postura de seguridad de las aplicaciones (ASPM), un nuevo enfoque de seguridad, brinda a los equipos de AppSec más control y mejora la postura de seguridad de sus aplicaciones.

"Finalmente, existe una nueva mentalidad, una que proporciona una visión holística de la postura de seguridad de las aplicaciones, lo que permite a AppSec lograr un equilibrio entre una mentalidad de 'giro a la izquierda' y estar facultado para identificar y mitigar vulnerabilidades antes de que puedan ser explotadas", concluyó. Hombre.