‘Samenwerking tussen security en engineering is sterker’

Abonneer je gratis op Techzine!

Uit onderzoek van Cobalt.io blijkt dat er een steeds sterkere samenwerking is tussen security en engineering. Deze vooruitgang versnelt de overgang van DevOps naar DevSecOps.

Het onderzoek kijkt naar de stand van zaken van applicatiesecurity en bevat inzichten van meer dan 100 mensen op het gebied van security, ontwikkeling en operations. Uit het rapport blijkt dat 79 procent van de ondervraagden aangeeft dat er een sterke band is tussen security en engineering. Veel bedrijven maken nu de overgang van DevOps naar DevSecOps.

Iets meer dan de helft van de ondervraagden zei dat de organisaties elk kwartaal pentesten uitvoeren op applicaties. Bij pentesten wordt een doelwit getest op kwetsbaarheden. Slechts 16 procent voert jaarlijks of tweejaarlijks dergelijke testen uit.

Organisaties zouden veel verschillende soorten applicaties pentesten. Cloudomgevingen blijven een aanzienlijk risico vormen. Iets meer dan de helft van de respondenten zegt alleen al cloudomgevingen van Amazon te moeten pentesten. Enkele van de meest voorkomende kwetsbaarheden die ondervraagden tegenkomen zijn misconfiguraties en blootstelling van gevoelige data.  

Balans tussen handmatig en geautomatiseerd pentesten

Hoewel geautomatiseerd pentesten vaak ideaal is, zijn er ook kwetsbaarheden die een mens beter kan detecteren zoals chained exploits. Voorbeelden waar zowel mensen als software het beste kunnen samenwerken zijn verschillende fouten gerelateerd aan het XML-protocol voor autorisatie.

“Een grondig begrip van de systeemarchitectuur en het vermogen om zowel methodisch als creatief te denken blijkt essentieel voor het beperken van de meest ernstige bedreigingen voor de veiligheid van applicaties”, aldus Caroline Wong, chief strategy officer bij Cobalt.io.