internet-3572404_1280.jpg

CISOs acham medidas usuais de segurança ineficazes

Da Redação
09/06/2021

Quase três quartos (71%) dos CISOs não confiam na visão corrente no mercado de que o código de arquiteturas nativas de nuvem está livre de vulnerabilidades tanto na fase de pré-produção quanto de produção, de acordo com uma nova pesquisa da Dynatrace. A empresa de inteligência de software entrevistou 700 líderes de segurança em todo o mundo, que trabalham em empresas com mais de mil funcionários, para entender melhor suas preocupações com microsserviços, contêineres e kubernetes em desenvolvimento.

Cerca de 89% dos entrevistados afirmaram que o uso desses recursos criou pontos cegos de segurança em aplicativos. Eles citam também como desafios as pressões de tempo e ferramentas e processos existentes que não são adequados para a finalidade na nova era nativa de nuvem.

Mais de dois terços (68%) dos CISOs disseram que o grande volume de alertas que chegam dificulta a priorização de ações. Em média, suas equipes recebem 2.169 alertas de vulnerabilidades em aplicativos a cada mês, a maioria dos quais são falsos positivos, constatou a pesquisa.

Além disso, mais de um quarto (28%) disse que as equipes de desenvolvimento às vezes contornam as verificações de vulnerabilidade para acelerar a entrega, enquanto três quartos (74%) disseram que as ferramentas de digitalização tradicionais e outros controles de segurança legados não funcionam nos ambientes atuais.

Veja isso
CISOs devem se concentrar na equipe e na cultura de segurança da empresa
CISOs de PMEs buscam alternativas para fazer mais com menos

Bernd Greifeneder, fundador e CTO da Dynatrace, observa que o uso crescente de arquiteturas nativas da nuvem quebrou as abordagens tradicionais de segurança de aplicativos. “Esta pesquisa confirma o que esperávamos há muito tempo: varreduras manuais de vulnerabilidade e avaliações de impacto não são mais capazes de acompanhar o ritmo das mudanças nos ambientes de nuvem dinâmicos como os atuais e nos ciclos rápidos de inovação.”

Segundo ele, a avaliação de risco tornou-se quase impossível devido ao número crescente de dependências de serviço internas e externas, dinâmica de tempo de execução, entrega contínua e desenvolvimento de software “poliglota”, que usa um número cada vez maior de tecnologias de terceiros. “Equipes já sobrecarregadas são forçadas a escolher entre velocidade e segurança, expondo suas organizações a riscos desnecessários.”

A maioria dos CISOs questionados para a pesquisa concordou que é necessária mais automação na implantação, configuração e gerenciamento. “À medida que as organizações adotam o DevSecOps, elas também precisam fornecer às suas equipes soluções que ofereçam análise automática, contínua e em tempo real de risco e impacto para cada vulnerabilidade, tanto em ambientes de pré-produção quanto de produção, e não com base no tempo instantâneo”, disse Greifeneder.

Compartilhar: