Pesquisa da Dynatrace mostra que 75% dos Cisos admitem vulnerabilidades

A Dynatrace, empresa de inteligência de software anunciou os resultados de uma pesquisa global independente com 1,3 mil diretores de segurança da informação (Cisos) em organizações de grande porte, sendo 50 no Brasil. A pesquisa revela que a velocidade e a complexidade criadas pelo uso de ambientes Multicloud, várias linguagens de codificação e bibliotecas de software de código aberto estão dificultando o gerenciamento de vulnerabilidades.

Na pesquisa, 75% dos Cisos dizem que, apesar de ter uma postura de segurança em várias camadas, as lacunas de cobertura persistentes permitem vulnerabilidades na produção. Isso destaca a crescente necessidade de convergência de observabilidade e segurança, abrindo caminho para as práticas de AISecDevOps. Isso capacitará as organizações com uma maneira mais eficaz de gerenciar vulnerabilidades em tempo de execução e a capacidade de detectar e bloquear ataques em tempo real. O relatório afirma que observabilidade e segurança devem convergir para permitir o gerenciamento eficaz de vulnerabilidades.

Os resultados da pesquisa incluem:

– 69% dos Cisos dizem que o gerenciamento de vulnerabilidades se tornou mais difícil à medida que a necessidade de acelerar a Transformação Digital aumentou.

– Mais de três quartos (79%) dos Cisos dizem que o gerenciamento automático e contínuo de vulnerabilidades em tempo de execução é fundamental para preencher a lacuna nos recursos das soluções de segurança existentes. No entanto, apenas 4% das organizações têm visibilidade em tempo real das vulnerabilidades de tempo de execução em ambientes de produção em contêineres.

– Apenas 25% das equipes de segurança podem acessar um relatório totalmente preciso e continuamente atualizado de cada aplicativo e biblioteca de código em execução em produção em tempo real.

Vulnerabilidades

“Essas descobertas ressaltam que sempre há oportunidades para vulnerabilidades passarem despercebidas pelas equipes de segurança, independentemente de quão robustas sejam suas defesas. Tanto os novos aplicativos quanto o software legado estável são propensos a vulnerabilidades que são detectadas de forma mais confiável na produção. Log4Shellfoi o garoto-propaganda desse problema e, sem dúvida, haverá outros cenários como esse no futuro”, disse Bernd Greifeneder, diretor de Tecnologia da Dynatrace. “Também está claro que a maioria das organizações ainda não tem visibilidade em tempo real das vulnerabilidades em tempo de execução. O problema decorre do uso crescente de práticas de entrega nativas da Nuvem, que permitem maior agilidade nos negócios, mas também introduzem nova complexidade para gerenciamento de vulnerabilidades, detecção de ataques e bloqueio”, afirmou.

Ainda segundo Greifeneder, o ritmo acelerado da Transformação Digital significa que equipes já sobrecarregadas são bombardeadas por milhares de alertas de segurança, que impossibilitam enxergar através do ruído e se concentrar no que importa. As equipes acham impossível responder manualmente a todos os alertas e as organizações estão expostas a riscos desnecessários ao permitir que as vulnerabilidades escapem para a produção.

Descobertas adicionais incluem:

– Em média, as organizações recebem 2.027 alertas de possíveis vulnerabilidades de segurança de aplicativos a cada mês.

– Menos de um terço (32%) dos alertas de vulnerabilidade de segurança de aplicativos que as organizações recebem todos os dias exigem ação, em comparação com 42% no ano passado.

– Em média, as equipes de segurança de aplicativos desperdiçam 28% de seu tempo em tarefas de gerenciamento de vulnerabilidades que podem ser automatizadas.

“As organizações percebem que, para gerenciar vulnerabilidades na era nativa da Nuvem de forma eficaz, a segurança deve se tornar uma responsabilidade compartilhada. A convergência de observabilidade e segurança é fundamental para fornecer às equipes de desenvolvimento, operações e segurança o contexto necessário para entender como seus aplicativos estão conectados, onde estão as vulnerabilidades e quais precisam ser priorizadas. Isso acelera o gerenciamento de riscos e a resposta a incidentes”, continuou Greifeneder. “Para serem realmente eficazes, as organizações devem procurar soluções que tenham recursos de IA e automação em seu núcleo, permitindo AISecDevOps. Essas soluções capacitam suas equipes a identificar e priorizar rapidamente vulnerabilidades em tempo de execução, bloquear ataques em tempo real e corrigir falhas de software antes que possam ser exploradas. Isso significa que as equipes podem parar de perder tempo em salas de guerra ou perseguir falsos positivos e vulnerabilidades potenciais que nunca chegarão à produção. Em vez disso, eles entregam com confiança um software melhor e mais seguro com mais rapidez”, finalizou.

Serviço
www.dynatrace.com