Kami berada pada titik balik dalam pengembangan budaya hubungan DevOps dan CISO. CISO perlu melindungi organisasi dengan segala cara, dan DevOps adalah tentang fleksibilitas, sehingga mereka cenderung memilih solusi keamanan yang cukup baik dan terkadang sangat menentang perlindungan yang diusulkan. ...
Apa artinya ini bagi bisnis dan keamanan siber?
Radware melakukan penelitian di antara komunitas DevOps dan DevSecOps untuk mengetahui seberapa luas DevOps dan bagaimana pengaruhnya terhadap pengambilan keputusan keamanan. Peneliti Radware mewawancarai hampir 300 profesional dari perusahaan dengan berbagai ukuran di seluruh dunia. Di bawah ini adalah ringkasan hasilnya.
Perusahaan menerapkan teknologi dan konsep inovatif
Secara umum, perusahaan sangat menyadari bahwa pengenalan standar dan solusi baru dalam transisi ke teknologi digital memerlukan sikap objektif (dan anggaran yang besar), sehingga mereka mencoba dan / atau membeli alat keamanan tambahan.
Misalnya, 67% perusahaan yang disurvei menggunakan layanan mikro/kontainer, dan 53% sudah menerapkan teknologi perlindungan kontainer. 43% menggunakan solusi perlindungan runtime tanpa server khusus untuk menghindari crash dan kebocoran data.
Semua ini terlihat menjanjikan, tetapi tampaknya perusahaan menggunakan coba-coba dan menerapkan banyak teknologi tanpa memastikan kompatibilitasnya. Mereka berharap ketersediaan berbagai teknologi akan memberikan perlindungan yang efektif.
Karena layanan mikro dan manajemen kontainer masih merupakan teknologi baru, sangat penting bagi perusahaan untuk mengeksplorasi solusi dan praktik mana yang sesuai untuk infrastruktur dan aliran data baru. Ketergantungan yang tidak dapat dibenarkan pada model keamanan yang ada menyebabkan pelanggaran keamanan yang tidak terduga dan, sebagai akibatnya, kebocoran data.
Perusahaan menerapkan langkah-langkah keamanan wajib
Mereka tidak hanya berusaha untuk memperkenalkan teknologi perlindungan baru, tetapi juga secara luas menerapkan praktik yang sudah mapan. Sebagai contoh:
- 70% perusahaan mengontrol lalu lintas Barat-Timur;
- lebih dari setengah kode ulasan bersama dengan pengujian keamanan dan solusi WAF;
- 52% menganggap kualitas keamanan sebagai kriteria utama untuk memilih teknologi untuk melindungi aplikasi.
Ini dikonfirmasi oleh penggunaan perlindungan API. Pada diagram di bawah ini, Anda dapat melihat bahwa perusahaan mengetahui ancaman keamanan yang ditimbulkan oleh API dan secara aktif bekerja untuk menghilangkannya. Pendekatan yang benar, mengingat bahwa API saat ini menghubungkan alat, aplikasi, sistem, dan lingkungan.
Menerapkan praktik keamanan dasar, DevSecOps, dan teknologi keamanan aplikasi menciptakan rasa percaya diri. (Lebih dari 90% organisasi telah membentuk tim DevOps atau DevSecOps, dan 58% melaporkan rasio pengembangan bakat DevSecOps 1: 6 banding 1:10.)
... Namun aplikasi diretas
Peretas menang sejauh ini, dan serangan aplikasi terus menjadi ancaman. 88% responden melaporkan insiden serangan ke Radware sepanjang tahun, di mana 90% di antaranya dipengaruhi oleh pelanggaran data. Responden mengalami pelanggaran akses harian, pembajakan sesi, spoofing cookie, injeksi SQL, serangan penolakan layanan, serangan protokol, skrip lintas situs, pemalsuan permintaan lintas situs, manipulasi API, dan banyak lagi.
56% dari mereka yang disurvei mencatat bahwa sulit bagi perusahaan dan penyedia layanan cloud untuk menggambarkan tanggung jawab keamanan. Banyak organisasi menghadapi berbagai jenis serangan aplikasi setiap minggu.
Gateway API tampaknya tidak membantu mengatasi masalah tersebut. Biasanya digunakan untuk otentikasi (37%), pemfilteran IP (30%), dan penyeimbangan beban dasar (28%), mereka jelas tidak dapat memblokir semua upaya manipulasi API.
Secara umum, solusi berdasarkan aturan statis dan heuristik kaku tidak memberikan tingkat perlindungan yang memadai untuk aplikasi yang terus berubah. Setengah dari responden mencatat bahwa aplikasi mereka terus berubah, terkadang beberapa kali sehari. Dalam kasus seperti itu, seseorang tidak bisa mengendalikan semuanya. Ini memerlukan identifikasi perubahan, pengaturan kebijakan, persetujuan dan pelaksanaannya, yang tidak mungkin dilakukan tanpa otomatisasi.
Karena laju perubahan yang cepat, tanggung jawab beralih ke orang lain yang bertanggung jawab untuk pengembangan yang gesit, memberikan aplikasi dan layanan mikro, menciptakan lingkungan SLDC, dan memilih alat. DevOps dan DevSecOps mulai memberikan dampak yang lebih besar pada keputusan keamanan. Hipotesis inilah yang ingin diuji oleh Radware.
Siapa yang membuat keputusan?
Bukan ahli keamanan. Departemen TI terutama dipengaruhi oleh pilihan alat, pengaturan kebijakan, dan penerapan perlindungan aplikasi. (Departemen TI mengendalikan anggaran, tetapi 70% dari CISO tidak memiliki hak suara.)
Transformasi digital bukan hanya transformasi digital
Sebuah studi Radware menemukan bahwa keberhasilan serangan disebabkan oleh fakta bahwa perusahaan tidak sepenuhnya mempertimbangkan dampak digitalisasi.
Dalam proses ini, teknologi memulai perubahan. Hal paling sederhana adalah memperoleh dan menerapkan teknologi dan platform baru, tetapi teknologi tidak akan mulai bekerja sendiri. Meskipun organisasi berusaha untuk mengikuti aturan keamanan, penyerang terus berhasil menyerang. Mengapa? Karena perusahaan tidak mengambil langkah kedua - non-digital - dari transisi ini: memperoleh kompetensi baru, mengadaptasi proses bisnis, mendistribusikan kembali peran dan tanggung jawab.
Ini adalah titik lemah dalam keamanan aplikasi. Jika profesional keamanan dapat melakukan pekerjaan mereka dan menjadikan keamanan sebagai faktor penentu dalam bisnis, mungkin kita akhirnya akan melihat bagaimana evolusi sistem keamanan akan sesuai dengan kecepatan bisnis.