Um total de 79% dos CISOs diz que o gerenciamento contínuo de vulnerabilidades em tempo de execução é um recurso essencial para acompanhar a crescente complexidade dos ambientes modernos de várias nuvens
A Dynatrace, uma empresa de inteligência de software, anunciou os resultados de uma pesquisa global independente com 1.300 Chief Information Security Officers (CISOs) em organizações de grande porte. A pesquisa revela que a velocidade e a complexidade criadas pelo uso de ambientes multinuvem, várias linguagens de codificação e bibliotecas de software de código aberto estão dificultando o gerenciamento de vulnerabilidades.
Um total de 75% dos CISOs diz que, apesar de ter uma postura de segurança em várias camadas, as lacunas de cobertura persistentes permitem vulnerabilidades na produção. Isso destaca a crescente necessidade de convergência de observabilidade e segurança, abrindo caminho para as práticas de AISecDevOps. Isso capacitará as organizações com uma maneira mais eficaz de gerenciar vulnerabilidades em tempo de execução e a capacidade de detectar e bloquear ataques em tempo real.
Os resultados da pesquisa incluem:
69% dos CISOs dizem que o gerenciamento de vulnerabilidades se tornou mais difícil à medida que a necessidade de acelerar a transformação digital aumentou.
Mais de três quartos (79%) dos CISOs dizem que o gerenciamento automático e contínuo de vulnerabilidades em tempo de execução é fundamental para preencher a lacuna nos recursos das soluções de segurança existentes. No entanto, apenas 4% das organizações têm visibilidade em tempo real das vulnerabilidades de tempo de execução em ambientes de produção em contêineres.
Apenas 25% das equipes de segurança podem acessar um relatório totalmente preciso e continuamente atualizado de cada aplicativo e biblioteca de código em execução em produção em tempo real.
“Essas descobertas ressaltam que sempre há oportunidades para vulnerabilidades escaparem das equipes de segurança, independentemente de quão robustas suas defesas possam ser. Tanto os novos aplicativos quanto o software legado estável são propensos a vulnerabilidades que são detectadas de forma mais confiável na produção. O Log4Shell foi o garoto-propaganda desse problema e, sem dúvida, haverá outros cenários como esse no futuro”, disse Bernd Greifeneder, diretor de Tecnologia da Dynatrace.
“Também está claro que a maioria das organizações ainda não tem visibilidade em tempo real das vulnerabilidades em tempo de execução. O problema decorre do crescente uso de práticas de entrega nativas da nuvem, que permitem maior agilidade nos negócios, mas também introduzem nova complexidade para gerenciamento de vulnerabilidades, detecção e bloqueio de ataques”.
“O ritmo acelerado da Transformação Digital significa que equipes já sobrecarregadas são bombardeadas por milhares de alertas de segurança que impossibilitam ver através do ruído e se concentrar no que importa. As equipes acham impossível responder manualmente a todos os alertas e as organizações estão expostas a riscos desnecessários ao permitir que as vulnerabilidades escapem para a produção”, completou Greifeneder.
Descobertas adicionais incluem:
- Em média, as organizações recebem 2.027 alertas de possíveis vulnerabilidades de segurança de aplicativos a cada mês;
- Menos de um terço (32%) dos alertas de vulnerabilidades de segurança de aplicativos que as organizações recebem todos os dias exigem ação, em comparação com 42% no ano passado;
- Em média, as equipes de segurança de aplicativos desperdiçam 28% de seu tempo em tarefas de gerenciamento de vulnerabilidades que podem ser automatizadas.
“As organizações percebem que, para gerenciar vulnerabilidades na era nativa da nuvem de forma eficaz, a segurança deve se tornar uma responsabilidade compartilhada. A convergência de observabilidade e segurança é fundamental para fornecer às equipes de desenvolvimento, operações e segurança o contexto necessário para entender como seus aplicativos estão conectados, onde estão as vulnerabilidades e quais precisam ser priorizadas. Isso acelera o gerenciamento de riscos e a resposta a incidentes”, continuou Greifeneder.
“Para serem realmente eficazes, as organizações devem procurar soluções que tenham recursos de IA e automação em seu núcleo, permitindo AISecDevOps. Essas soluções capacitam suas equipes a identificar e priorizar rapidamente vulnerabilidades em tempo de execução, bloquear ataques em tempo real e corrigir falhas de software antes que possam ser exploradas. Isso significa que as equipes podem parar de perder tempo em salas de guerra ou perseguir falsos positivos e vulnerabilidades potenciais que nunca chegarão à produção. Em vez disso, eles entregam com confiança um software melhor e mais seguro com mais rapidez”.
O relatório é baseado em uma pesquisa global com 1.300 CISOs em organizações de grande porte com mais de mil funcionários, conduzida por Coleman Parkes e encomendada pela Dynatrace em abril de 2022. A amostra incluiu 200 entrevistados nos EUA, 100 cada no Reino Unido, França, Alemanha, Espanha, Itália, países nórdicos, Oriente Médio, Austrália e Índia, e 50 cada em Cingapura, Malásia, Brasil e México.
Sobre a Dynatrace
Dynatrace existe para fazer o software do mundo funcionar perfeitamente. Sua plataforma unificada de inteligência de software combina observabilidade ampla e profunda e segurança de aplicativos em tempo de execução contínuo com os AIOps mais avançados para fornecer respostas e automação inteligente de dados em grande escala. Isso permite que os inovadores modernizem e automatizem as operações na nuvem, forneçam software com mais rapidez e segurança e garantam experiências digitais perfeitas.