75% dos CISOs estão preocupados com o vazamento de vulnerabilidades no desenvolvimento de aplicações
79% dos CISOs dizem que o gerenciamento contínuo de vulnerabilidades em tempo de execução é um recurso essencial para acompanhar a crescente complexidade dos ambientes Multicloud
Uma pesquisa da Dynatrace, revela que a velocidade e a complexidade trazidas pelo uso de ambientes multicloud, várias linguagens de codificação e bibliotecas de software de código aberto estão dificultando o gerenciamento de vulnerabilidades. O estudo indica que 75% dos CISOs dizem que, apesar de ter uma postura de segurança em várias camadas, as lacunas persistentes de cobertura permitem vulnerabilidades na produção de software.
Como consequência, a pesquisa destaca a crescente necessidade de convergência de observabilidade e segurança, abrindo caminho para as práticas de AISecDevOps. Isso capacitará as organizações com uma maneira mais eficaz de gerenciar vulnerabilidades em tempo de execução e a capacidade de detectar e bloquear ataques em tempo real.
Os resultados da pesquisa incluem pontos importantes como:
– 69% dos CISOs dizem que o gerenciamento de vulnerabilidades se tornou mais difícil à medida que a necessidade de acelerar a transformação digital aumentou.
– Mais de três quartos (79%) dos CISOs dizem que o gerenciamento automático e contínuo de vulnerabilidades em tempo de execução é fundamental para preencher a lacuna nos recursos das soluções de segurança existentes. No entanto, apenas 4% das organizações têm visibilidade em tempo real das vulnerabilidades de tempo de execução em ambientes de produção em contêineres.
– Apenas 25% das equipes de segurança podem acessar um relatório totalmente preciso e continuamente atualizado de cada aplicação e biblioteca de código em execução em produção em tempo real.
“Essas descobertas ressaltam que sempre é possível que as vulnerabilidades passem despercebidas pelas equipes de segurança, independentemente de quão robustas sejam suas defesas. Tanto as novas aplicações quanto o software legado estável são propensos a vulnerabilidades que são detectadas de forma mais confiável nas etapas de produção e análise. O Log4Shell foi o garoto-propaganda desse problema e, sem dúvida, haverá outros cenários como esse no futuro”, diz Bernd Greifeneder, Diretor de Tecnologia da Dynatrace.
O executivo destaca, ainda, que a maioria das organizações ainda não tem visibilidade em tempo real das vulnerabilidades em tempo de execução. “O problema decorre do uso crescente de práticas de entrega nativas da nuvem, que permitem maior agilidade nos negócios, mas também introduzem nova complexidade para gerenciamento de vulnerabilidades, detecção de ataques e bloqueio. O ritmo acelerado da transformação digital significa que equipes já sobrecarregadas são bombardeadas por milhares de alertas de segurança que impossibilitam enxergar através do ruído e se concentrar no que importa. As equipes acham impossível responder manualmente a todos os alertas e as organizações estão expostas a riscos desnecessários ao permitir que as vulnerabilidades escapem para a produção”, ressalta.
O relatório com os CISOs ainda inclui descobertas como:
– Em média, as organizações recebem 2.027 alertas de possíveis vulnerabilidades de segurança de aplicações a cada mês.
– Menos de um terço (32%) dos alertas de vulnerabilidade de segurança de aplicações que as organizações recebem todos os dias exigem ação, em comparação com 42% no ano passado.
– Em média, as equipes de segurança de aplicações desperdiçam 28% de seu tempo em tarefas de gerenciamento de vulnerabilidades que podem ser automatizadas.
“As organizações percebem que, para gerenciar de forma eficaz as vulnerabilidades na era da Nuvem, a segurança deve se tornar uma responsabilidade compartilhada. A convergência entre observabilidade e segurança é fundamental para entregar às equipes de desenvolvimento, operações e segurança o contexto necessário para se entender como as aplicações estão conectadas, onde estão as vulnerabilidades e quais ações precisam ser priorizadas. Isso acelera o gerenciamento de riscos e a resposta a incidentes”, reforça Greifeneder.
“Para serem realmente eficazes, as organizações devem procurar soluções que tenham recursos de Inteligência Artificial e automação em seu núcleo, permitindo a evolução do AISecDevOps. Essas soluções capacitam suas equipes a identificar e priorizar rapidamente as vulnerabilidades em tempo de execução, bloquear ataques em tempo real e corrigir falhas de software antes que possam ser exploradas. Isso significa que as equipes podem parar de perder tempo em salas de guerra ou perseguir falsos positivos e vulnerabilidades potenciais que nunca chegarão à produção. Em vez disso, eles entregam com confiança um software melhor e mais seguro com mais rapidez.”
O relatório é baseado em uma pesquisa global com 1.300 CISOs em organizações de grande porte com mais de 1.000 funcionários e foi conduzida pela consultoria Coleman Parkes e encomendada pela Dynatrace em abril de 2022. A amostra incluiu 200 entrevistados nos Estados Unidos, 100 líderes de cada país no Reino Unido, França, Alemanha, Espanha, Itália, países nórdicos, Oriente Médio, Austrália e Índia, e 50 diretores de segurança da informação de cada país em Cingapura, Malásia, Brasil e México.
*Imagem: Pexels
