Потребители жаждут бесперебойного цифрового взаимодействия в мобильных приложениях. Приложение, которое не имеет новейших рыночных функций, выглядит неуклюжим, работает медленно и не защищает свои данные, быстро подтолкнет потребителей к переходу на конкурирующее приложение.
Таким образом, экономическое обоснование создания широкого спектра мобильных приложений не представляет никакой сложности. По данным eMarketer, пользователи мобильных приложений проводят в Интернете около четырех часов каждый день, при этом целых 88% этого времени тратится на приложения, а не на веб-сайты. Тем не менее, необходим постоянный и быстрый процесс разработки приложений, чтобы удовлетворить запросы потребителей, оставаться конкурентоспособными на рынке и идти в ногу с конкуренцией. Но для разработчиков эта гонка является препятствием. А обеспечение безопасности часто сопряжено с серьезными проблемами. Несовместимые приоритеты
Безопасность является необходимой частью привлечения и удержания клиентов. Однако между разработчиками и командами кибербезопасности часто возникает несовместимость.
Разработчики хотят выпускать продукты как можно быстрее и чаще, но рассматривают требования безопасности и кибер-команды как препятствия. Для кибер-команд приоритетом является обеспечение безопасности потребителей и бизнеса. В то же время клиенты все больше осведомлены о кибербезопасности. Исследование ожиданий потребителей в отношении мобильной безопасности в Великобритании, проведенное Appdome, показало, что почти шесть из десяти (59%) британских потребителей считают безопасность мобильных приложений эквивалентной новым функциям в приложениях для Android и iOS, при этом четверть респондентов заявили, что безопасность мобильных приложений важнее. важнее, чем безопасность мобильных приложений. функции. Потребители больше не хотят просто беспрепятственного взаимодействия с современным мобильным приложением, им также нужно безопасное приложение.
Это подчеркивает настоятельную необходимость для компаний разрешить противоречивые приоритеты и процессы между разработчиками и кибер-командами. Вице-президент по продуктам безопасности в Appdome.
DevSecOps 2.0 – автоматизация защиты мобильных приложений и обнаружения угроз
Ответом является разработка, безопасность и эксплуатация (DevSecOps) — процесс, который интегрирует инициативы по обеспечению безопасности на каждом этапе разработки программного обеспечения. Сегодняшний процесс выпуска мобильных приложений изобилует конфликтами между командами мобильных разработчиков и кибер-командами. Команды разработчиков вложили время и ресурсы в максимально возможную автоматизацию процесса выпуска. Фактически, они стремятся максимально повысить гибкость и скорость своих релизов. С другой стороны, команды по кибербезопасности считаются блокировщиками этого гибкого процесса. Особенно, если о результатах безопасности будет сообщено во время собрания по выпуску. Это приводит к тому, что команды разработчиков обращаются к руководству и запрашивают одобрение исключений из рисков. Очень важно понимать, что такие исключения из рисков увеличивают вероятность потенциальных атак или взломов, поскольку приложение не защищено во время производства. Даже если есть обязательство исправить проблему безопасности в следующем выпуске, это открывает возможности для хакеров. Но слишком часто организации вынуждены выпускать приложения с известными недостатками безопасности, поскольку задержки могут привести к значительной потере дохода или просто сделать приложение неконкурентоспособным. Последствия атаки могут оказаться чрезвычайно дорогостоящими и разрушительными для компании или бренда. Учитывая, что взыскательные потребители ищут как скорость, так и безопасность, становится ясно, что решение необходимо для дальнейшего успеха индустрии мобильных приложений.
Традиционный процесс DevSecOps направлен на включение автоматического тестирования безопасности в конвейер разработки и развертывания с целью оптимизации процесса оценки безопасности с использованием конвейера. Проблема с этим подходом заключается в том, что команды разработчиков часто не имеют ресурсов, навыков или знаний для решения проблем в процессе разработки и могут придавать низкий приоритет безопасности, поскольку функциональность, внешний вид и простота использования являются для них основными движущими силами. В дополнение к вышесказанному, автоматическое сканирование безопасности и уязвимостей, безусловно, является желанным дополнением к модели DevSecOps, но важно помнить, что сканирование безопасности решает только часть проблемы, поскольку его нельзя использовать для «исправления» проблемы или устранения проблемы. восстанавливаться». проблема. Именно здесь требуется автоматизация киберзащиты без кода. Автоматизацию киберзащиты можно использовать для создания средств защиты в приложениях Android и iOS для предотвращения эксплойтов/атак или устранения угроз безопасности или слабых мест приложений, выявленных с помощью сканирования безопасности или пен-тестирования.
Используя подход DevSecOps 2.0, производители приложений могут использовать автоматизацию защиты мобильных приложений в конвейере CI/CD, чтобы переложить бремя и ответственность за обеспечение необходимой защиты с команды разработчиков на киберкоманду. Таким образом, команда по кибербезопасности может использовать одни и те же лучшие практики разработчиков для независимого создания, тестирования, выпуска и мониторинга модели безопасности в мобильных приложениях как равноправную и независимую часть процесса DevSecOps.
Это позволяет разработчикам приложений поддерживать быстрый и гибкий процесс выпуска своих мобильных приложений, обеспечивая при этом полную защиту своих приложений и возможность легкого обновления для защиты от новых угроз и атак.. И все это без необходимости выполнять дополнительную работу команде разработчиков. Традиционный DevSecOps не является решением
Когда дело доходит до мобильных приложений, нынешний подход к DevSecOps не работает. Требование к традиционному процессу DevSecOps включает автоматическое тестирование безопасности в конвейере разработки и развертывания. Идея состоит в том, что это упрощает процесс оценки безопасности. Хотя это ускоряет обнаружение уязвимостей, которые можно использовать, это не помогает реализовать необходимые меры защиты в мобильном приложении, что приводит к конфликтам между кибер-командами и командами разработчиков по вопросам защиты и исключений из рисков.
Традиционная модель DevSecOps ограничивает возможности киберкоманды по обеспечению защиты. Все, что может сделать команда, — это просмотреть, составить отчет и рекомендовать команде разработчиков функции безопасности, которые необходимо добавить. Таким образом, киберкоманда полностью зависит от разработчиков, которые вносят обновления, изменения или обновления.
Ситуация еще больше усложняется тем, что разработчики могут быть не полностью знакомы с политикой безопасности компании или конкретными киберугрозами. Разработчики могут переоценивать меры безопасности магазинов приложений или производителей устройств.
К счастью, инновационные технологии могут решить эту дилемму. Используя инструмент автоматизации киберзащиты, команды разработчиков могут реализовать все меры защиты, необходимые команде безопасности. Кроме того, это позволяет им устранять слабые места, выявленные в ходе сканирования безопасности или тестирования на проникновение, без каких-либо ручных усилий или влияния на графики выпуска или рабочие процессы. Автоматизация обороны приходит на помощь
Автоматизация защиты мобильных приложений позволяет командам по кибербезопасности лучше контролировать модель безопасности мобильных приложений, не требуя значительной работы от ресурсов, находящихся вне их контроля (т. е. от мобильных разработчиков). Автоматизация защиты мобильных приложений позволяет командам разработчиков и командам по кибербезопасности работать вместе, используя конвейер непрерывной интеграции и непрерывной доставки (CI/CD), используя автоматизацию, чтобы полностью снять с команды разработчиков бремя развертывания. Используя автоматизацию киберзащиты, группы кибербезопасности могут сами создавать, тестировать, выпускать и контролировать модель безопасности мобильных приложений или позволить команде разработчиков реализовать предписанную ими модель безопасности — и все это на основе автоматизированных рабочих процессов, которые разработчики уже используют для создания и доставки сегодня. мобильные приложения. Такой подход гарантирует, что оценка безопасности приложений станет неотъемлемой частью обычного жизненного цикла разработки программного обеспечения.
Внедрив таким образом автоматизацию киберзащиты, киберкоманда берет на себя прямой контроль над конвейером CI/CD, освобождая команду разработчиков от любой дополнительной рабочей нагрузки или необходимости выполнять сложные требования кибербезопасности. В результате конвейер работает бесперебойно, автоматизируя процесс разработки мобильных приложений со встроенными мерами безопасности, борьбы с мошенничеством и другими защитными мерами. Такой подход позволяет командам разработки и кибербезопасности эффективно удовлетворять запросы потребителей и выполнять свои соответствующие обязанности. Никому не придется идти на болезненные компромиссы, от которых страдают традиционные решения по обеспечению безопасности мобильных приложений.
Для разработчика или кибер-команды это отличная позиция. Он очищает накопившиеся данные по безопасности и ускоряет выпуск новых средств защиты, возникающих в результате новых испытаний или оценок, устраняя новые и старые противоречия между организациями. Переломщик игры
Один из естественных споров в жизни происходит между людьми, которые создают вещи, и людьми, которые их защищают, но автоматизация киберзащиты для мобильных приложений революционно меняет правила игры. Слишком долго компании использовали традиционный подход DevSecOps, что приводило к значительным разногласиям.
Чтобы идти в ногу с ожиданиями потребителей и динамичным рынком, современные организации должны устранить этот основной источник напряжения в мобильных приложениях. Однако прежде чем этого можно будет достичь, необходимы бесперебойные внутренние операции. С внедрением инновационного автоматизированного подхода к реализации функций безопасности сотрудничество заменяет споры, позволяя команде разработчиков сосредоточиться на своих основных преимуществах, не преодолевая препятствий. Мы порекомендовали лучшее программное обеспечение для шифрования.
Эта статья была подготовлена в рамках канала Expert Insights от Ny BreakingPro, где мы рассказываем о лучших и ярких умах современной технологической индустрии. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением Ny BreakingPro или Future plc. Если вы заинтересованы в участии, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.
Статья добавлена ботом, с машинным переводом с английского : https://nybreaking.com/category/tech/
