Falsos positivos: as arquiteturas nativas da nuvem superam as soluções de segurança tradicionais. Estudo: Apenas 3% das empresas têm visibilidade em tempo real das vulnerabilidades de tempo de execução.
As abordagens tradicionais de segurança de aplicativos estão sendo sobrecarregadas pelo uso crescente de arquiteturas nativas da nuvem, DevOps e metodologias ágeis. Este é um dos resultados da pesquisa global independente encomendada pelo provedor de inteligência de software Dynatrace. O estudo foi realizado com 700 responsáveis pela segurança da informação e dados nas empresas (CISO).
Muitos falsos positivos
As organizações estão transferindo cada vez mais a responsabilidade para os desenvolvedores para acelerar a inovação. No entanto, sistemas de TI complexos e ferramentas de segurança desatualizadas retardam o processo, levando a muitas mensagens de alarme, que muitas vezes acabam sendo falsos positivos após extensa verificação manual. Um chamado falso positivo é um erro em uma verificação em que uma condição predefinida foi incorretamente reconhecida como tal. Portanto, as empresas precisam de uma nova abordagem otimizada para ambientes multicloud, Kubernetes e DevSecOps.
O estudo gratuito "A avaliação precisa e automática de risco e impacto é fundamental para o DevSecOps" está disponível para download. Ela mostra:
- De acordo com 89% dos CISOs, microsserviços, contêineres e Kubernetes criaram pontos cegos de segurança de aplicativos.
- 74% dos CISOs dizem que as soluções de segurança tradicionais, como scanners de vulnerabilidade, não se encaixam mais no mundo nativo da nuvem de hoje.
- 97% das organizações carecem de visibilidade em tempo real das vulnerabilidades de tempo de execução em ambientes de produção em contêineres.
- Quase dois terços (63%) dos CISOs acreditam que DevOps e desenvolvimento ágil tornaram mais difícil identificar e gerenciar vulnerabilidades de software.
- 71% dos CISOs não têm certeza absoluta de que o código está livre de vulnerabilidades antes de entrar no ar.
"O uso crescente de arquiteturas nativas da nuvem está superando completamente as abordagens tradicionais de segurança de aplicativos", disse Bernd Greifeneder, fundador e diretor de tecnologia da Dynatrace. “Este estudo confirma o que há muito esperávamos: varreduras manuais de vulnerabilidade e avaliações de impacto não conseguem mais acompanhar o ritmo das mudanças nos ambientes de nuvem dinâmicos de hoje e nos rápidos ciclos de inovação. A avaliação de riscos tornou-se quase impossível devido ao número crescente de dependências de serviços internos e externos, dinâmica de tempo de execução, entrega contínua e desenvolvimento de software multilíngue, alavancando um número cada vez maior de tecnologias de terceiros. Equipes já sobrecarregadas são forçadas a escolher entre velocidade e segurança. Ao fazer isso, eles estão expondo suas organizações a riscos desnecessários.”
Outros resultados do estudo
- Em média, as organizações respondem a 2.169 novos alertas de vulnerabilidade de aplicativos a cada mês.
- De acordo com 77% dos CISOs, a maioria dos alertas de segurança e vulnerabilidades relatadas são falsos positivos que não requerem ação.
- Para 68% dos CISOs, o volume de alertas torna muito difícil priorizar as vulnerabilidades por risco e impacto.
- 64% dos CISOs dizem que os desenvolvedores nem sempre têm tempo para corrigir as vulnerabilidades antes que o código entre em produção.
- 77% dos CISOs acreditam que a única maneira de acompanhar os ambientes modernos de aplicativos nativos da nuvem é substituir o provisionamento, a configuração e o gerenciamento manuais por abordagens automatizadas.
- As equipes de aplicativos às vezes ignoram as varreduras de vulnerabilidade para acelerar a entrega de software, de acordo com 28% dos CISOs.
“À medida que as empresas adotam o DevSecOps, elas também precisam capacitar suas equipes com soluções que forneçam análises automáticas, em tempo real e contínuas de risco e impacto para cada vulnerabilidade, tanto para ambientes de pré-produção quanto de produção”, continuou Greifeneder. “O Application Security Module na Dynatrace Software Intelligence Platform permite que as organizações aproveitem a automação, IA, escalabilidade e robustez da Dynatrace. Ele pode ser estendido para garantir ciclos de lançamento mais seguros - com o conhecimento de que os aplicativos nativos da nuvem estão livres de vulnerabilidades."
O estudo é baseado em uma pesquisa global com 700 CISOs em empresas com mais de 1.000 funcionários, conduzida por Coleman Parkes em nome da Dynatrace em 2021. Inclui 200 entrevistados nos EUA, 100 na Alemanha, França, Reino Unido e Espanha, e 50 no Brasil e no México.
Mais em dynatrace.com
Sobre a Dynatrace
A Dynatrace oferece inteligência de software para simplificar a complexidade da nuvem e acelerar a transformação digital. Com observabilidade altamente escalável automatizada e inteligente, nossa plataforma all-in-one oferece respostas precisas sobre desempenho e segurança de aplicativos, infraestrutura subjacente e experiência de todos os usuários. Isso permite que as empresas inovem mais rapidamente, trabalhem juntas com mais eficiência e gerem valor agregado com muito menos esforço. É por isso que muitas das maiores empresas do mundo confiam na Dynatrace® para modernizar e automatizar as operações em nuvem, lançar softwares melhores com mais rapidez e oferecer experiências digitais inigualáveis.