บทนำ
เป้าหมายของการรักษาความปลอดภัยแอปพลิเคชันของ Ponemon Institute ในการศึกษา DevOps Environment ซึ่งสนับสนุนโดยซอฟต์แวร์ HCL คือเพื่อให้เข้าใจถึงความสามารถขององค์กรในการตรวจจับจัดลำดับความสำคัญและซ่อมแซมช่องโหว่ในแอปพลิเคชันของตนได้อย่างรวดเร็ว
ด้วยเหตุนี้ Ponemon Institute จึงสำรวจบุคคล 626 คนที่ทำงานในด้านความปลอดภัยไอทีการประกันคุณภาพหรือบทบาทการพัฒนา นอกจากนี้องค์กรของผู้ตอบแบบสำรวจทั้งหมดยังใช้แนวทาง DevOps ซึ่งรวมถึงการทดสอบความปลอดภัยของแอปพลิเคชัน
เป้าหมายของบล็อกนี้คือการสรุปข้อค้นพบที่สำคัญของการศึกษาของเรา สำหรับสำเนารายงานที่ครอบคลุมของเราฟรีโปรดคลิกที่นี่
แสดงผลการวิจัย
แม้ว่ารายงานจะเต็มไปด้วยข้อค้นพบที่น่าสนใจเกี่ยวกับการป้องกันความปลอดภัยของแอปพลิเคชันและการใช้งาน DevOps แต่การค้นพบเหล่านี้พิสูจน์แล้วว่าน่าสนใจที่สุด
- การโจมตีแอปพลิเคชันที่มีช่องโหว่มีค่าใช้จ่ายสูงกว่าที่เราคาดหวัง ในช่วง 12 เดือนที่ผ่านมาองค์กรต่างๆที่เป็นตัวแทนในการวิจัยได้สร้างความสูญเสียทางเศรษฐกิจโดยเฉลี่ยรวม 12 ล้านดอลลาร์อันเป็นผลมาจากการโจมตีแอปพลิเคชันที่มีช่องโหว่
- องค์กรที่ได้รับการสำรวจบางแห่งในการวิจัยของเราได้สร้างความสูญเสียทางเศรษฐกิจโดยรวมซึ่งเกิน 100 ล้านดอลลาร์อันเป็นผลมาจากการโจมตีแอปพลิเคชันที่มีช่องโหว่ หากต้องการนำตัวเลข 100 ล้านดอลลาร์มาใช้ในมุมมองนี้ยังแสดงถึงงบประมาณด้านไอทีโดยรวมโดยเฉลี่ยสำหรับองค์กรที่ตอบสนองต่อการศึกษา
- องค์กรอาจใช้เวลาเกือบ 8 เดือนโดยเฉลี่ยในการระบุการโจมตีแอปพลิเคชันที่มีช่องโหว่และ 6 เดือนในการกู้คืนจากการโจมตี
- โดยเฉลี่ยแล้ว 67% ของแอปพลิเคชันที่สำคัญทางธุรกิจไม่ได้รับการทดสอบช่องโหว่อย่างต่อเนื่อง
- 74% ของผู้ตอบแบบสอบถามระบุว่าแอปพลิเคชันจำนวนมากเกิดความล่าช้าในรอบการพัฒนาเนื่องจากโค้ดที่ต้องได้รับการประเมินสำหรับข้อกังวลด้านความปลอดภัยซึ่งส่งผลต่อกำหนดเวลาการเผยแพร่ขององค์กร
- 71% ของผู้ตอบแบบสอบถามระบุว่าการขาดการมองเห็นและความสม่ำเสมอในแนวทางปฏิบัติด้านความปลอดภัยของ DevOps ทำให้ข้อมูลลูกค้าและพนักงานตกอยู่ในความเสี่ยงในที่สุด
แนวโน้มเชิงบวก
การศึกษายังชี้ให้เห็นถึงแนวโน้มเชิงบวกหลายประการใน Application Security และ DevOps:
- องค์กรต่างๆกำลังลงทุนอย่างมากในด้านความปลอดภัยของแอปพลิเคชันและ DevOps จากงบประมาณด้านไอทีโดยเฉลี่ย 100 ล้านเหรียญสหรัฐสำหรับผู้ตอบแบบสอบถามเกือบ 25 ล้านดอลลาร์ได้รับการจัดสรรให้กับกิจกรรมด้านความปลอดภัยของแอปพลิเคชันและอีก 20 ล้านดอลลาร์ถูกจัดสรรให้กับกิจกรรม DevOps
- ตัวขับเคลื่อนหลักในการกำหนดงบประมาณด้านความปลอดภัยและการตัดสินใจลงทุนขององค์กรมีดังต่อไปนี้: การลดความเสี่ยง (65% ของผู้ตอบแบบสอบถาม); ปฏิบัติตามข้อกำหนด / ข้อบังคับ (53% ของผู้ตอบแบบสอบถาม) และการสร้างผลตอบแทนจากการลงทุน (ROI) (51% ของผู้ตอบแบบสอบถาม)
- เมื่อองค์กรทำการทดสอบความปลอดภัยของแอปพลิเคชันพวกเขาจะใช้วิธีการทดสอบที่แตกต่างกันมากมายรวมถึง DAST, SAST, IAST, SCA และ Penetration Testing
- ในสัญญาณที่มีแนวโน้มเป็นพิเศษผู้ตอบแบบสอบถาม 49% กล่าวว่าองค์กรของพวกเขาช่วยให้นักพัฒนาสามารถระบุช่องโหว่ภายในกระบวนการเข้ารหัสและ 47% ของผู้ตอบแบบสอบถามกล่าวว่าองค์กรของพวกเขารับรองการฝึกอบรมเกี่ยวกับวิธีการรักษาความปลอดภัยของกระบวนการเข้ารหัส
- 52% ของผู้ตอบแบบสอบถามรายงานว่าการสแกนช่องโหว่โดยอัตโนมัติในทุกขั้นตอนของ Software Development Lifecycle (SDLC) มีความสำคัญต่อองค์กรและ 56% ของผู้ตอบแบบสอบถามระบุว่าการแก้ไขช่องโหว่อย่างรวดเร็วโดยใช้เครื่องมืออัตโนมัติเป็นสิ่งสำคัญ
พื้นที่ปรับปรุง
ในที่สุดการศึกษาได้เปิดเผยหลาย ๆ ด้านที่ผู้เชี่ยวชาญด้าน AppSec และ DevOps มีประสิทธิภาพมากขึ้นและจำเป็นต้องมีความคืบหน้าเพิ่มเติมอย่างชัดเจน:
- ไม่ใช่องค์กรเดียวที่ระบุว่าสามารถป้องกันการโจมตีได้มากกว่า 50% จากแอปพลิเคชันที่มีช่องโหว่ที่ใช้งานอยู่แล้วและ 45% ของผู้ตอบแบบสอบถามระบุว่าองค์กรของตนสามารถป้องกันการโจมตีดังกล่าวได้น้อยกว่า 15%
- เมื่อมีการโจมตีเกิดขึ้นกับแอปพลิเคชันที่มีช่องโหว่องค์กรต่างๆรายงานว่าสามารถตรวจจับได้และมีเพียง 40% ของการโจมตีเหล่านั้นโดยเฉลี่ย
- เกือบครึ่งหนึ่งขององค์กรทดสอบแอปพลิเคชันของตนเป็นรายไตรมาสหรือนานกว่านั้นโดย 6% ของผู้ตอบแบบสอบถามระบุว่าองค์กรของตนทดสอบแอปพลิเคชันเป็นประจำทุกปี 25% ของผู้ตอบแบบสอบถามกล่าวว่าองค์กรของตนไม่มีรอบการทดสอบตามแผน
- สำหรับผู้ตอบแบบสอบถามการขาดแคลนพนักงานเป็นอุปสรรคหลักในการป้องกันการโจมตีแอปพลิเคชันที่มีช่องโหว่ (63% ของผู้ตอบแบบสอบถาม) และความเหนื่อยล้าจากการแจ้งเตือนยังคงเป็นข้อกังวลที่สำคัญโดย 40% ของผู้ตอบแบบสอบถามรายงานว่าการค้นพบของพวกเขาสร้างเสียงรบกวนมากเกินไปสำหรับพวกเขาที่จะจัดการได้อย่างมีประสิทธิภาพ
- มีองค์กรเพียง 38% เท่านั้นที่รายงานว่าสามารถแก้ไขช่องโหว่ได้เร็วที่สุด
ที่มา : https://blog.hcltechsw.com/appscan/ponemon-institute-and-hcl-appscan-reveal-state-of-application-security-in-devops-environments/