Yanlış pozitifler: Bulutta yerel mimariler, geleneksel güvenlik çözümlerini alt eder. Çalışma: Şirketlerin yalnızca yüzde 3'ü çalışma zamanı güvenlik açıklarına ilişkin gerçek zamanlı görünürlüğe sahip.
Uygulama güvenliğine yönelik geleneksel yaklaşımlar, bulutta yerel mimarilerin, DevOps'un ve çevik metodolojilerin artan kullanımı karşısında şaşkına dönüyor. Bu, yazılım zekası sağlayıcısı Dynatrace tarafından yaptırılan bağımsız küresel anketin sonuçlarından biridir. Araştırma, şirketlerde bilgi ve veri güvenliğinden sorumlu (CISO) 700 kişi arasında gerçekleştirilmiştir.
Çok fazla yanlış pozitif
Kuruluşlar, yeniliği hızlandırmak için sorumluluğu giderek geliştiricilere kaydırıyor. Bununla birlikte, karmaşık BT sistemleri ve eski güvenlik araçları, kapsamlı manuel kontrolden sonra genellikle yanlış pozitif olduğu ortaya çıkan birçok alarm mesajına yol açarak süreci yavaşlatır. Sözde yanlış pozitif, önceden tanımlanmış bir koşulun yanlış olarak bu şekilde tanındığı bir kontroldeki bir hatadır. Bu nedenle şirketler, çoklu bulut ortamları, Kubernetes ve DevSecOps için optimize edilmiş yeni bir yaklaşıma ihtiyaç duyuyor.
"Hassas, otomatik risk ve etki değerlendirmesi DevSecOps için anahtardır" adlı ücretsiz çalışma indirilebilir. O gösterir:
- CISO'ların yüzde 89'una göre mikro hizmetler, kapsayıcılar ve Kubernet'ler uygulama güvenliği kör noktaları oluşturdu.
- CISO'ların yüzde 74'ü, güvenlik açığı tarayıcıları gibi geleneksel güvenlik çözümlerinin artık günümüzün bulut tabanlı dünyasına uymadığını söylüyor.
- Kuruluşların yüzde 97'si, konteynerli üretim ortamlarındaki çalışma zamanı güvenlik açıklarına yönelik gerçek zamanlı görünürlükten yoksundur.
- CISO'ların yaklaşık üçte ikisi (%63), DevOps ve Çevik geliştirmenin yazılım güvenlik açıklarını belirlemeyi ve yönetmeyi zorlaştırdığına inanıyor.
- CISO'ların yüzde 71'i, canlı yayına geçmeden önce kodun güvenlik açıklarından arınmış olduğundan tam olarak emin değil.
"Hassas, otomatik risk ve etki değerlendirmesi DevSecOps için anahtardır" başlıklı çalışma (Fotoğraf: dynatrace).
Dynatrace'in kurucusu ve baş teknoloji sorumlusu Bernd Greifeneder, "Buluta özgü mimarilerin artan kullanımı, uygulama güvenliğine yönelik geleneksel yaklaşımları tamamen geride bırakıyor" dedi. "Bu çalışma, uzun süredir beklediğimiz şeyi doğruluyor: manuel güvenlik açığı taramaları ve etki değerlendirmeleri, günümüzün dinamik bulut ortamlarındaki ve hızlı yenilik döngülerindeki değişimin hızına artık ayak uyduramıyor. Artan sayıda iç ve dış hizmet bağımlılığı, çalışma zamanı dinamikleri, sürekli teslimat ve sürekli artan sayıda üçüncü taraf teknolojilerinden yararlanan çok dilli yazılım geliştirme nedeniyle risk değerlendirmesi neredeyse imkansız hale geldi. Zaten aşırı yüklenmiş ekipler, hız ve güvenlik arasında seçim yapmak zorunda kalıyor. Bunu yaparken, kuruluşlarını gereksiz risklere maruz bırakıyorlar.”
Çalışmanın diğer sonuçları
- Ortalama olarak, kuruluşlar her ay 2.169 yeni uygulama güvenlik açığı uyarısına yanıt verir.
- CISO'ların yüzde 77'sine göre, güvenlik uyarılarının ve bildirilen güvenlik açıklarının çoğu, eylem gerektirmeyen yanlış pozitiflerdir.
- CISO'ların yüzde 68'i için uyarıların hacmi, güvenlik açıklarını risk ve etkiye göre önceliklendirmeyi çok zorlaştırıyor.
- CISO'ların yüzde 64'ü, geliştiricilerin kod üretime geçmeden önce güvenlik açıklarını düzeltmek için her zaman zamanlarının olmadığını söylüyor.
- CISO'ların yüzde 77'si, modern bulut yerel uygulama ortamlarına ayak uydurmanın tek yolunun manuel sağlama, yapılandırma ve yönetimi otomatikleştirilmiş yaklaşımlarla değiştirmek olduğuna inanıyor.
- CISO'ların yüzde 28'ine göre, uygulama ekipleri yazılım teslimatını hızlandırmak için bazen güvenlik açığı taramalarını atlıyor.
Greifeneder, "Şirketler DevSecOps'u benimserken, ekiplerini her güvenlik açığı için hem üretim öncesi hem de üretim ortamları için otomatik, gerçek zamanlı, sürekli risk ve etki analizi sağlayan çözümlerle güçlendirmeleri gerekiyor" diye devam etti Greifeneder. “Dynatrace Yazılım İstihbarat Platformundaki Uygulama Güvenliği Modülü, kuruluşların Dynatrace'in otomasyonundan, yapay zekasından, ölçeklenebilirliğinden ve sağlamlığından faydalanmasını sağlıyor. Bulutta yerel uygulamaların güvenlik açıkları içermediği bilgisi ile daha güvenli sürüm döngüleri sağlamak için genişletilebilir."
Çalışma, 700'de Dynatrace adına Coleman Parkes tarafından yürütülen, 1.000'den fazla çalışanı olan şirketlerdeki 2021 CISO'nun katıldığı küresel bir ankete dayanıyor. ABD'de 200, Almanya, Fransa, Birleşik Krallık ve İspanya'da 100 ve Brezilya ve Meksika'da 50 katılımcı içerir.
Daha fazlası dynatrace.com'da
Dynatrace Hakkında
Dynatrace, bulut karmaşıklığını basitleştirmek ve dijital dönüşümü hızlandırmak için yazılım zekası sunar. Otomatikleştirilmiş ve akıllı yüksek düzeyde ölçeklenebilir gözlemlenebilirlik ile hepsi bir arada platformumuz, uygulama performansı ve güvenliği, temel altyapı ve tüm kullanıcıların deneyimi hakkında kesin yanıtlar sunar. Bu, şirketlerin daha hızlı yenilik yapmasını, birlikte daha verimli çalışmasını ve önemli ölçüde daha az çabayla katma değer üretmesini sağlar. Bu nedenle dünyanın en büyük şirketlerinden birçoğu bulut operasyonlarını modernize etmek ve otomatikleştirmek, daha iyi yazılımları daha hızlı yayınlamak ve rakipsiz dijital deneyimler sunmak için Dynatrace®'e güveniyor.