Software intelligence-företaget Dynatrace har genomfört en global undersökning bland 700 CISO:er.
Undersökningen visar att det ökande användandet av cloud-native-arkitekturer, DevOps, och agila metoder har förändrat det traditionella sättet att hantera applikationssäkerhet.
I takt med att organisationer ger mer mandat och ansvar till utvecklare för att snabba på innovation, kan komplexa och utdaterade IT-miljöer försena releaser genom att lämna blind spots och genom att tvinga team att hantera mängder av varningsmeddelanden manuellt, varav många är relaterade till sårbarheter i programbibliotek snarare än att de används i produktionen. Organisationer behöver en ny approach som är optimerad för multicloud-miljöer, Kubernetes, och DevSecOps. Resultaten presenteras i rapporten Precise, automatic risk and impact assessment is key for DevSecOps, och kan laddas ner här.
Undersökningen visar:
- 89% av CISO:er säger att microservices, containers och Kubernetes har medfört att det skapas blind spots för arbetet med applikationssäkerhet.
- 97% av organisationerna saknar möjlighet att i realtid se och övervaka sårbarheter i container-baserade produktionsmiljöer.
- Nästan två tredjedelar (63%) av CISO:er säger att DevOps och agil utveckling har gjort det svårare att hitta och hantera programsårbarheter.
- 74% av CISO:er säger att traditionella säkerhetskontroller som vulnerability scanners inte längre passar när cloud-native tagit över alltmer.
- 71% av CISO:er säger att de inte är helt säkra på att koden är felfri när den går live i produktionsmiljön.
“Faktumet att cloud-native-arkitekturer har tagit över innebär att traditionella metoder för applikationssäkerhet inte längre är relevanta,” säger Bernd Greifeneder, grundare och Chief Technology Officer på Dynatrace. “Den här undersökningen påvisar det vi redan trodde: manuellt säkerhetsarbete är inte längre tillräckligt för att hänga med i dynamiska molnmiljöer och snabba innovationscykler. Riskbedömning har i princip blivit omöjligt på grund av mängden externa och interna samband, runtime-dynamik och mjukvaruutveckling på flera språk och där tredjepartsteknologier blir allt vanligare. Utvecklingsteam befinner sig i en pressad situation där de tvingas välja mellan snabbhet och säkerhet, vilket exponerar verksamheten mot onödiga risker.
Ytterligare resultat av undersökningen:
- I genomsnitt måste organisationer hantera 2 169 varningar som indikerar potentiella brister i applikationssäkerheten varje månad.
- 77% av CISO:er säger att de flesta säkerhetsvarningarna är falsklarm i den bemärkelsen att de inte kräver några åtgärder eftersom de inte medför att något exponeras på ett felaktigt sätt.
- 68% av CISO:er säger att antalet varningar är så många att det är mycket svårt att prioritera vilka som ska hanteras utifrån risk och påverkan.
- 64% av CISO:er säger att utvecklare inte alltid har tid att fixa alla sårbarheter innan kod sätts i produktion.
- 77% av CIO:er säger att det enda som kan få säkerhetsavdelningen att lyckas hålla jämna steg med moderna cloud-native-miljöer är att ersätta manuell driftsättning, konfigurering och hantering med automatiserade tillvägagångssätt.
- 28% av CISO:er säger att applikationsteamen ibland skippar sårbarhetskontrollerna för att snabbare kunna leverera applikationerna.
“I takt med att företag väljer DevSecOps, behöver de också förse sina team med automatiserade lösningar som i realtid kan skapa risk- och påverkananalyser för varje sårbarhet, både i förproduktions- och produktionsmiljöer, och inte lösningar som bara baseras på snapshots, säger Greifeneder. Med Application Security Module som finns på Dynatrace Software Intelligence Platform, kan verksamheter dra nytta av funktioner för automation, AI, skalbarhet och stabilitet och därigenom skapa säkrare utvecklingscykler där de kan vara trygga i att deras cloud-native-applikationer är fria från exponeringar.”