La empresa de inteligencia de software Dynatrace, ha anunciado hoy los resultados de una encuesta global independiente realizada a 700 CISO, que revela que la creciente adopción de arquitecturas nativas de la nube, DevOps y metodologías ágiles ha roto los enfoques tradicionales de la seguridad de las aplicaciones. A medida que las organizaciones trasladan más responsabilidad “a un lado” a los desarrolladores para acelerar la innovación, los ecosistemas de TI cada vez más complejos y las herramientas de seguridad anticuadas pueden ralentizar los lanzamientos al dejar puntos ciegos y obligar a los equipos a triar manualmente innumerables alertas, muchas de las cuales son falsos positivos que reflejan vulnerabilidades en bibliotecas que no se utilizan en producción. Las organizaciones reclaman un nuevo enfoque optimizado para entornos multicloud, Kubernetes y DevSecOps.
Esta investigación revela que:
- El 89% de los CISOs dicen que los microservicios, contenedores y Kubernetes han creado puntos ciegos en la seguridad de las aplicaciones.
- El 74% de los CISOs dicen que los controles de seguridad tradicionales, como los escáneres de vulnerabilidad, ya no se adaptan al mundo nativo de la nube de hoy en día.
- El 97% de las organizaciones no tienen visibilidad en tiempo real de las vulnerabilidades en tiempo de ejecución en entornos de producción en contenedores.
- Casi dos tercios (63%) de los CISOs dicen que DevOps y el desarrollo ágil han hecho más difícil detectar y gestionar las vulnerabilidades del software.
- El 71% de los CISOs admiten que no están totalmente seguros de que el código esté libre de vulnerabilidades antes de entrar en producción.
“El creciente uso de arquitecturas nativas de la nube ha roto fundamentalmente los enfoques tradicionales de la seguridad de las aplicaciones”, dijo Bernd Greifeneder, fundador y director de tecnología de Dynatrace. “Esta investigación confirma lo que hemos anticipado durante mucho tiempo: los análisis manuales de vulnerabilidad y las evaluaciones de impacto ya no son capaces de mantener el ritmo de cambio en los entornos dinámicos de la nube y los rápidos ciclos de innovación de hoy en día. La evaluación de riesgos se ha vuelto casi imposible debido al creciente número de dependencias de servicios internos y externos, la dinámica del tiempo de ejecución, la entrega continua y el desarrollo de software políglota que utiliza un número cada vez mayor de tecnologías de terceros. Los equipos, que ya están al límite, se ven obligados a elegir entre velocidad y seguridad, exponiendo a sus organizaciones a riesgos innecesarios.”
Otras conclusiones son:
- En promedio, las organizaciones necesitan reaccionar a 2,169 nuevas alertas de potenciales vulnerabilidades de seguridad de aplicaciones cada mes.
- El 77% de los CISOs dicen que la mayoría de las alertas y vulnerabilidades de seguridad son falsos positivos que no requieren acción ya que no son exposiciones reales.
- El 68% de los CISOs dicen que el volumen de alertas hace muy difícil priorizar las vulnerabilidades en base al riesgo y al impacto.
- El 64% de los CISOs dicen que los desarrolladores no siempre tienen tiempo para resolver las vulnerabilidades antes de que el código pase a producción.
- El 77% de los CISOs dicen que la única manera de que la seguridad se mantenga al día con los entornos modernos de aplicaciones nativas de la nube es reemplazar el despliegue manual, la configuración y la gestión con enfoques automatizados.
- El 28% de los CISOs dicen que los equipos de aplicaciones a veces pasan por alto los escaneos de vulnerabilidad para acelerar la entrega de software.
“A medida que las organizaciones adoptan DevSecOps, también necesitan dar a sus equipos soluciones que ofrezcan un análisis de riesgo e impacto automático, continuo y en tiempo real para cada vulnerabilidad, tanto en entornos de preproducción como de producción, y no basado en “instantáneas” puntuales”, continuó Greifeneder. “Con el Módulo de Seguridad de Aplicaciones en la Plataforma de Inteligencia de Software de Dynatrace, las organizaciones pueden aprovechar la automatización, la IA, la escalabilidad y la solidez de grado empresarial de Dynatrace, y ampliar esto para ofrecer ciclos de lanzamiento más seguros con la confianza de que sus aplicaciones nativas de la nube están libres de exposiciones.”
El informe se basa en una encuesta global de 700 CISOs en grandes empresas con más de 1.000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en 2021.
La muestra incluyó 200 encuestados en Estados Unidos, 100 en el Reino Unido, Francia, Alemania y España, y 50 en Brasil y México, respectivamente.
El informe (documento PDF de 30 páginas) “Precise, automatic risk and impact assessment is key for DevSecOps”, está disponible para su descarga aquí (no requiere registro).