派拓网络：将应用安全预算用在“刀刃”上，平台化策略成为投资回报最大化的关键
作者：派拓网络产品管理副总裁Sarit Tager

如今，几乎所有企业都在云端运行，并且AI还在进一步推动该趋势。预计全球公有云服务支出今年将大幅增加至7,234亿美元，较2024年增长21%。这主要是由于全球云原生应用数量快速增加至7.5亿，而AI的引入无疑将进一步推动云快速增长，使软件开发效率和速度提升20-50%。

尽管使用云的优点不言而喻，但安全问题也迫在眉睫。高达74%的云安全事件由不安全的代码引发，因此落实强大的安全措施非常重要。AI生成代码的普及和加速增长进一步加剧了安全风险，企业需要采取以预防为先的应用安全策略，防止这些风险演变为实际威胁。
令人欣慰的是，64%的安全决策者计划今年增加应用安全预算，但单纯增加支出并不能确保提高安全性。预算的战略分配也很关键，企业需要将重点转向以平台为中心的应用安全策略，以便在风险进入生产环境前予以有效解决，进而实现投资回报（ROI）最大化。

如何应对应用安全市场的碎片化问题
目前的应用安全市场高度碎片化，许多企业在应用安全测试（SAST、DAST、IAST）、软件组成分析（SCA）、软件供应链安全等方面选择不同的工具和厂商。尽管这些工具的确发挥了重要作用，但它们的孤立性导致效率低下、盲点和各自为政。
更糟糕的是，由于安全团队必须从众多应用安全工具中整合背景信息才能构建风险源头的完整图景，这个问题极大延长了云风险的解决时间。从发现问题到修复和恢复平均需要120天。方法不统一使得安全团队难以发现并修复生产环境中的风险，导致漏洞和运营开销增加。所以关键在于将这些能力整合成一套连贯的安全策略，以便为应用程序提供一致、强大的全生命周期安全防护。
 
通过平台化策略实现应用安全功能的统一
有效利用应用安全预算的关键在于落实平台化策略，通过一个集成安全平台将关键应用安全解决方案整合到统一架构中，省去管理各种不同安全工具的繁琐。
统一云安全平台能够：
Ÿ   进行集中监视和控制：通过统一的仪表板实时洞察应用生命周期各阶段的安全风险。
Ÿ   自动检测和响应威胁：AI驱动的安全分析功能持续监视应用是否存在漏洞和配置错误。
Ÿ   与DevSecOps工作流无缝集成：与持续集成/持续交付（CI/CD）管道一致的安全解决方案可在开发早期阶段发现并消除风险。
Ÿ   背景驱动的洞察：无缝连接从代码到云再到安全运营中心（SOC）的关键背景，使安全团队能够精准、快速地优先处理真正重要的事项。
通过将安全功能整合到一个平台，企业可以增强防御能力，更快地修复风险，同时还能提高运营效率和实现安全投资回报的最大化。
 
转向以预防为先的理念
此外，统一平台有助于企业转向以预防为先的理念。传统安全策略通常在威胁已渗透生产环境后才注重检测和响应，但此时漏洞可能已被利用，并导致代价高昂的数据泄露和违规。
以预防为先的策略强调：
Ÿ   在部署前消除风险：在软件开发生命周期的早期阶段进行安全测试有助于防止漏洞扩散。
Ÿ   强制执行开发防护措施：在开发工作流程中自动执行安全策略能够在符合最佳实践的同时，不影响创新速度。
Ÿ   追溯风险至代码源头：持续进行精准更新，从代码源头彻底解决问题。
统一安全平台将预防而非应对放在首位，极大降低了企业发生安全事件的概率，更加有效地保护了应用程序和客户数据。

适应不断变化的云安全环境
随着云应用持续加速发展，企业需要领先于新型安全挑战。采用以预防为先的平台化安全策略能够为有效抵御现代威胁奠定良好的基础。
首席信息安全官（CISO）应确保日益增加的预算用在能够带来实际价值、提升安全性和简化运营复杂性的解决方案上。采取集成应用安全策略不但能帮助企业应对风险，还利于培养有助于长期业务增长的安全韧性文化。

免责声明：本文若是转载新闻稿，转载此文目的是在于传递更多的信息，版权归原作者所有。文章所用文字、图片、视频等素材如涉及作品版权问题，请联系本网编辑予以删除。