Помилкові спрацьовування: рідні хмарні архітектури переважають традиційні рішення безпеки. Дослідження: лише 3 відсотки компаній мають доступ до вразливостей у режимі виконання в режимі реального часу.
Традиційні підходи до безпеки додатків переповнюються все більшим використанням хмарних архітектур, DevOps і гнучких методологій. Це один із результатів незалежного глобального опитування, проведеного на замовлення постачальника програмної інформації Dynatrace. Дослідження проводилося серед 700 осіб, відповідальних за безпеку інформації та даних у компаніях (CISO).
Забагато помилкових спрацьовувань
Організації все частіше перекладають відповідальність на розробників за прискорення інновацій. Однак складні ІТ-системи та застарілі інструменти безпеки уповільнюють процес, приводячи до багатьох тривожних повідомлень, які часто виявляються помилковими після ретельної ручної перевірки. Так званий хибний позитивний результат — це помилка під час перевірки, під час якої попередньо визначену умову було неправильно розпізнано як таку. Тому компаніям потрібен новий підхід, оптимізований для багатохмарних середовищ, Kubernetes і DevSecOps.
Безкоштовне дослідження «Точна автоматична оцінка ризиків і впливу є ключовою для DevSecOps» доступна для завантаження. Вона показує:
- За словами 89 відсотків CISO, мікросервіси, контейнери та Kubernetes створили сліпі зони безпеки додатків.
- 74 відсотки CISO кажуть, що традиційні рішення безпеки, такі як сканери вразливостей, більше не підходять для сучасного хмарного світу.
- 97 відсоткам організацій не вистачає в реальному часі видимості вразливостей під час виконання в контейнерних виробничих середовищах.
- Майже дві третини (63%) CISO вважають, що DevOps і Agile-розробка ускладнили виявлення вразливостей програмного забезпечення та керування ними.
- 71 відсоток CISO не повністю впевнені, що код вільний від уразливостей до запуску.
Дослідження «Точна автоматична оцінка ризиків і впливу є ключовою для DevSecOps» (фото: dynatrace).
«Зростання використання хмарних архітектур повністю переважає традиційні підходи до безпеки додатків», — сказав Бернд Грайфенедер, засновник і головний технічний директор Dynatrace. «Це дослідження підтверджує те, чого ми давно очікували: ручне сканування вразливостей і оцінка впливу більше не можуть встигати за темпами змін у сучасних динамічних хмарних середовищах і швидких циклах інновацій. Оцінка ризиків стала майже неможливою через зростаючу кількість внутрішніх і зовнішніх залежностей служб, динаміку виконання, безперервне постачання та розробку багатомовного програмного забезпечення, що використовує постійно зростаючу кількість сторонніх технологій. І без того перевантажені команди змушені вибирати між швидкістю та безпекою. Роблячи це, вони наражають свої організації на непотрібний ризик».
Інші результати дослідження
- У середньому організації щомісяця реагують на 2.169 сповіщень про нові вразливості програм.
- Згідно з 77 відсотками CISO, більшість сповіщень системи безпеки та повідомлень про вразливості є помилковими спрацьовуваннями, які не потребують дій.
- Для 68 відсотків CISO кількість сповіщень дуже ускладнює визначення пріоритетності вразливостей за ризиком і впливом.
- 64 відсотки CISO кажуть, що розробники не завжди мають час для усунення вразливостей до того, як код буде запущений у виробництво.
- 77 відсотків CISO вважають, що єдиний спосіб йти в ногу з сучасними хмарними середовищами додатків — це замінити ручне надання, налаштування та керування автоматизованими підходами.
- Згідно з 28 відсотками CISO, групи програм іноді обходять сканування вразливостей, щоб пришвидшити доставку програмного забезпечення.
«Оскільки компанії впроваджують DevSecOps, їм також потрібно надати своїм командам рішення, які забезпечують автоматичний безперервний аналіз ризиків і наслідків для кожної вразливості в режимі реального часу — як для попереднього виробництва, так і для робочого середовища», — продовжив Грейфенедер. «Модуль безпеки додатків на платформі Dynatrace Software Intelligence Platform дозволяє організаціям скористатися перевагами автоматизації Dynatrace, ШІ, масштабованості та надійності. Його можна розширити, щоб забезпечити більш безпечні цикли випуску, знаючи, що хмарні додатки не містять вразливостей».
Дослідження базується на глобальному опитуванні 700 CISO в компаніях із понад 1.000 співробітників, проведеному Coleman Parkes від імені Dynatrace у 2021 році. Він включає 200 респондентів у США, по 100 у Німеччині, Франції, Великобританії та Іспанії та по 50 у Бразилії та Мексиці.
Більше на dynatrace.com
Про Dynatrace
Dynatrace забезпечує інтелектуальне програмне забезпечення для спрощення складності хмари та прискорення цифрової трансформації. Завдяки автоматизованому та інтелектуальному високомасштабованому спостереженню наша комплексна платформа надає точні відповіді щодо продуктивності та безпеки програм, базової інфраструктури та досвіду всіх користувачів. Це дозволяє компаніям швидше впроваджувати інновації, працювати разом ефективніше та створювати додану вартість із значно меншими зусиллями. Ось чому багато найбільших світових компаній довіряють Dynatrace® для модернізації та автоматизації хмарних операцій, швидшого випуску кращого програмного забезпечення та надання неперевершеного цифрового досвіду.