Dynatrace: meer securityrisico door complexiteit cloud-native softwareontwikkeling

Europese chief information security officers vinden het steeds moeilijker om hun software veilig te houden, naarmate hun hybride en multicloud-omgevingen complexer worden en teams blijven vertrouwen op handmatige processen. Daardoor wordt de kans vergroot dat kwetsbaarheden in productieomgevingen binnensluipen. Dit is een van de belangrijkste bevindingen in een nieuw onderzoeksrapport van Dynatrace, aanbieder in observability en security, onder 1300 chief information security officers (CISO's) bij grote organisaties over de hele wereld, waaronder 600 uit Europa.

Uit het onderzoek blijkt verder dat het voortdurende gebruik van gescheiden tools voor ontwikkeling, levering en securitytaken de adoptie van DevSecOps afremt. Deze inzichten onderstrepen de groeiende behoefte aan convergentie van ‘observability’ en security om te komen tot datagestuurde automatisering waarmee ontwikkel-, security- en IT-operationsteams sneller en veiliger innovaties kunnen leveren.

Meer belangrijke bevindingen uit het rapport:
• Meer dan twee derde (68 procent) van de Europese CISO's zegt dat het beheer van kwetsbaarheden moeilijker is geworden omdat de complexiteit van hun software supply chain en hun cloud-ecosysteem is toegenomen.
• Minder dan de helft (47 procent) van de CISO's is er volledig van overtuigd dat de software die door hun ontwikkelteams wordt geleverd, volledig is getest op kwetsbaarheden voordat deze live gaat in productieomgevingen.
• Bijna vier op de vijf (79 procent) CISO's zegt dat het een grote uitdaging is om prioriteiten te stellen voor kwetsbaarheden, omdat zij geen informatie hebben over het risico dat deze kwetsbaarheden vormen voor hun omgeving.
• 61 procent van de kwetsbaarheidswaarschuwingen die alleen door securityscanners als ‘kritiek’ worden aangemerkt, zijn niet belangrijk in de productieomgeving. Daardoor gaat kostbare ontwikkeltijd verloren aan het nagaan van deze ‘false positives’.
• Gemiddeld besteedt elk lid van ontwikkel- en applicatiesecurityteams bijna een derde (28 procent) van zijn of haar tijd – gemiddeld 11 uur per week – aan taken rond kwetsbaarheidsbeheer die ook geautomatiseerd zouden kunnen worden.

“Organisaties worstelen ermee om de behoefte aan snellere innovatie in balans te brengen met de governance- en securitycontrols die ze hebben ingesteld om hun diensten en gegevens te beveiligen”, zegt Chief Technology Officer Bernd Greifeneder van Dynatrace. “Door de toenemende complexiteit van software supply chains en de cloud-native technologiestacks die de basis vormen van digitale innovatie, wordt het steeds moeilijker om nieuwe kwetsbaarheden snel te identificeren, te beoordelen en prioriteiten te stellen voor een eventuele respons. Dit zijn taken die de mens inmiddels te boven gaan. Ontwikkel-, security- en IT-teams ontdekken dat de bestaande maatregelen voor het beheren van kwetsbaarheden niet langer toereikend zijn in de dynamische digitale wereld van nu. Deze kwetsbaarheden stellen bedrijven bloot aan onaanvaardbare risico's.”

Overige bevindingen:
• 69 procent van de Europese CISO's zegt dat de vele teamsilo's en puntoplossingen binnen de gehele DevSecOps-levenscyclus de kans vergroot dat kwetsbaarheden in productieomgevingen terechtkomen.
• 82 procent van de CISO’s verwacht meer exploits van kwetsbaarheden te zullen zien als ze DevSecOps niet effectiever maken; slechts 12 procent van de organisaties heeft echter een volwassen DevSecOps-cultuur.
• 88 procent van de CISO's zegt dat AI en automatisering cruciaal zijn voor het succes van DevSecOps en om het tekort aan personeel en middelen op te lossen.
• Volgens 82 procent van de CISO’s vormt dat de tijd die verstrijkt tussen de ontdekking van zero-day-aanvallen en de mogelijkheid om elke aanval te patchen een belangrijke uitdaging voor het beperken van de risico's.

“Hoewel de voordelen van DevSecOps steeds beter worden gezien en begrepen, blijven de meeste organisaties steken in de vroege stadia van de invoering van deze processen, vanwege gegevens die zijn opgeslagen in gescheiden silo’s, die context missen en analyses beperken,” vervolgt Greifeneder. “Om dit te voorkomen, moeten ze oplossingen gebruiken die ‘observability’ en securitydata combineren en die gebaseerd zijn op vertrouwde AI en intelligente automatisering. Dit is precies waarvoor we het Dynatrace-platform hebben ontworpen. Daarmee hebben onze klanten de tijd die nodig is om kwetsbaarheden te identificeren en prioriteiten toe te kennen terug weten te brengen met wel 95 procent. Daardoor kunnen ze sneller en veiliger innovaties leveren waarmee ze voorop blijven lopen in hun industrie.”

Het rapport is gebaseerd op een wereldwijde survey onder 1.300 CISO's in grote organisaties met meer dan 1.000 werknemers, in opdracht van Dynatrace uitgevoerd door Coleman Parkes in maart 2023. De steekproef omvatte 200 respondenten in de VS, 100 elk in het VK, Frankrijk, Duitsland, Spanje, Italië, Scandinavië, het Midden-Oosten, Australië en India, en 50 elk in Singapore, Maleisië, Brazilië en Mexico. Download het rapport hier.