1.300 CISO'nun katıldığı bir ankete göre, yüzde 75'i şunu söylüyor: Çok fazla uygulama güvenlik açığı faaliyete geçiyor. CISO'ların yüzde 79'u için sürekli çalışma zamanı güvenlik açığı yönetimi, modern çoklu bulut ortamlarının artan karmaşıklığına ayak uydurmak için kritik öneme sahip.
Yazılım İstihbarat Şirketi (NYSE: DT) Dynatrace, büyük kuruluşlarda 1.300 bilgi güvenliği yöneticisi (CISO) ile ilgili küresel bir araştırma yayınladı. Önemli bir bulgu: Çoklu bulut ortamlarının, çoklu programlama dillerinin ve açık kaynaklı yazılım kitaplıklarının kullanımının getirdiği hız ve karmaşıklık, güvenlik açığı yönetimini zorlaştırıyor. CISO'ların yüzde 75'i, çok katmanlı güvenlik önlemlerine rağmen üretken operasyonlarda güvenlik açıklarına yol açabilecek boşluklar olduğunu belirtiyor. Bu, gözlemlenebilirlik ve güvenliği birleştirmek için artan ihtiyacın altını çiziyor. Bu, kuruluşlara çalışma zamanı güvenlik açıklarını yönetmek ve saldırıları gerçek zamanlı olarak tespit etmek ve azaltmak için daha etkili bir yol sağlar. Çalışma buradan ücretsiz olarak indirilebilir.
Çalışmanın ana sonuçları
- CISO'ların yüzde 69'u, dijital dönüşümü hızlandırma ihtiyacının artması nedeniyle güvenlik açığı yönetiminin daha zor hale geldiğini söylüyor.
- CISO'ların dörtte üçünden fazlası (%79), otomatikleştirilmiş, sürekli çalışma zamanı güvenlik açığı yönetiminin mevcut güvenlik çözümlerindeki yetenek açığını kapatmanın anahtarı olduğuna inanıyor. Ancak, kuruluşların yalnızca yüzde 4'ü, kapsayıcılı üretim ortamlarındaki çalışma zamanı güvenlik açıklarına ilişkin gerçek zamanlı görünürlüğe sahip.
- Güvenlik ekiplerinin yalnızca yüzde 25'i, üretimde çalışan her uygulama ve kod kitaplığının doğru, sürekli güncellenen bir raporuna gerçek zamanlı erişime sahip.
Dynatrace Baş Teknoloji Sorumlusu Bernd Greifeneder, "Bu sonuçlar, güvenlik ekiplerinin, savunmaları ne kadar sağlam olursa olsun, güvenlik açıklarını gözden kaçırmaya devam ettiği gerçeğinin altını çiziyor" dedi. "Hem yeni uygulamalar hem de istikrarlı eski yazılımlar, üretimde daha güvenilir bir şekilde tespit edilen güvenlik açıklarına karşı hassastır. Log4Shell bu sorunun poster çocuğu oldu ve gelecekte bu tür senaryoların daha fazla olacağına şüphe yok. Açıkçası, çoğu şirket hala çalışma zamanı güvenlik açıklarına yönelik gerçek zamanlı görünürlükten yoksundur.
Tehdit edici bulut yerel devreye alma süreçleri
Sorun, bulutta yerel teslimat süreçlerinin artan kullanımından kaynaklanmaktadır. Daha fazla iş çevikliği sağlarken, aynı zamanda güvenlik açığı yönetimine, saldırı tespitine ve hafifletmeye yeni bir karmaşıklık getiriyorlar. Dijital dönüşümün hızlı temposu, zaten gergin olan ekiplerin binlerce güvenlik uyarısıyla bombardımana tutulduğu anlamına gelir ve bu da en önemli şeylere odaklanmayı imkansız hale getirir. Ekipler her uyarıya manuel olarak yanıt veremiyor ve şirketler güvenlik açıklarının üretime girmesine izin vererek kendilerini gereksiz risklere maruz bırakıyor.”
Çalışmanın diğer sonuçları
- Kuruluşlar, ortalama olarak, potansiyel uygulama güvenlik açıkları hakkında her ay 2.027 uyarı alıyor.
Günlük uygulama güvenlik açığı uyarılarının üçte birinden daha azı (%32) eyleme geçiyor; Geçen yıl yüzde 42'ye kıyasla. - Ortalama olarak, uygulama güvenlik ekipleri zamanlarının yüzde 28'ini otomatikleştirilebilecek güvenlik açığı yönetimi görevlerinde harcıyor.
“Kuruluşlar, yerel bulut çağında güvenlik açıklarını etkili bir şekilde yönetmek için güvenliğin paylaşılan bir sorumluluk haline gelmesi gerektiğini kabul etti. Gözlemlenebilirlik ve güvenliğin yakınsaması, geliştirme, operasyon ve güvenlik ekiplerine uygulamalarının nasıl bağlandığını, güvenlik açıklarının nerede olduğunu ve hangilerine öncelik vereceklerini anlamaları için ihtiyaç duydukları bağlamı sağlamak için kritik öneme sahiptir. Bu, risk yönetimini ve olaylara tepkiyi hızlandırır,” diye devam ediyor Greifeneder. "Gerçekten etkili olmak için kuruluşlar, merkezinde yapay zeka ve otomasyon yetenekleri bulunan ve AISecDevOps'u etkinleştiren çözümler aramalıdır. Bununla, ekipleriniz çalışma zamanı güvenlik açıklarını hızlı bir şekilde tanımlayabilir ve öncelik sırasına koyabilir, saldırıları gerçek zamanlı olarak engelleyebilir ve açıklardan yararlanılmadan önce hataları düzeltebilir. Asla üretime geçemeyen yanlış pozitifleri ve potansiyel güvenlik açıklarını takip ederek zaman kaybetmek yok. Bunun yerine, daha iyi ve daha güvenli yazılımları daha hızlı sunabilirler.”
çalışmanın arkaplanı
Çalışma, 1.300'den fazla çalışanı olan büyük şirketlerdeki 1.000 CISO'nun katıldığı küresel bir ankete dayanmaktadır. Almanya, Fransa, İngiltere, İspanya, İtalya, İskandinavya, ABD, Orta Doğu, Avustralya, Hindistan, Singapur, Malezya, Brezilya ve Meksika'dan katılımcılarla Nisan 2022'de Dynatrace adına Coleman Parkes tarafından gerçekleştirilmiştir.
Daha fazlası dynatrace.com'da
Dynatrace Hakkında
Dynatrace, yazılımın dünya çapında mükemmel şekilde çalışmasını sağlar. Birleşik yazılım zekası platformumuz, dikkate değer ölçekte yanıtlar ve verilerden akıllı otomasyon sağlamak için geniş ve derin gözlemlenebilirliği ve sürekli çalışma zamanı uygulama güvenliğini en gelişmiş AIOps ile birleştirir. Bu, kuruluşların bulut operasyonlarını modernleştirmesine ve otomatikleştirmesine, yazılımları daha hızlı ve daha güvenli bir şekilde sunmasına ve kusursuz dijital deneyimler sağlamasına olanak tanır.