A la mayoría de los CISO les preocupa que no se detecten los fallos del software en la nube. Las medidas de seguridad de las aplicaciones tradicionales están rotas. Alrededor de las tres cuartas partes (71%) de los CISO dudan de que su código en la nube esté libre de fallos antes de entrar a producción. Esto es a lo que apunta una nueva investigación.
Según una encuesta mundial de CISO en grandes empresas con más de 1.000 empleados, el 89% de los CISO dijeron que los microservicios, contenedores y Kubernetes han causado puntos ciegos en la seguridad de las aplicaciones. La encuesta también encontró que el 97% de las organizaciones no tienen visibilidad en tiempo real de las vulnerabilidades en tiempo de ejecución en entornos de producción en contenedores.
Las presiones para hacer que el código esté activo y no tener las herramientas y los procesos adecuados para garantizar que el código esté libre de vulnerabilidades para las aplicaciones nativas de la nube, agravan estos problemas.
A la mayoría de los CISO les preocupa que no se detecten los fallos del software en la nube
Más de dos tercios de los CISO (68%) dijeron que el volumen de alertas hace que sea muy difícil priorizar las vulnerabilidades en función del riesgo y del impacto. En promedio, los equipos de seguridad necesitan reaccionar ante 2169 nuevas alertas. Sin embargo, sólo el 42% de las posibles vulnerabilidades de seguridad de las aplicaciones cada mes necesitan acción, ya que el resto son falsos positivos.
Más de uno de cada cuatro CISO (28%) dijo que los equipos de desarrollo de aplicaciones a veces omiten los análisis de vulnerabilidades para acelerar la entrega. Otras tres cuartas partes (74%) dijeron que los controles de seguridad tradicionales, como los escáneres de vulnerabilidades, ya no son adecuados para su propósito en el mundo nativo cloud de hoy.
Brend Greifeneder, fundador y director de tecnología de Dynatrace, dijo que el mayor uso de arquitecturas nativas cloud ha «roto fundamentalmente los enfoques tradicionales de seguridad de las aplicaciones».
«Esta investigación confirma lo que habíamos anticipado durante mucho tiempo. Los análisis manuales de vulnerabilidades y las evaluaciones de impacto ya no pueden seguir el ritmo del cambio en los entornos dinámicos de nube. Tampoco de los rápidos ciclos de innovación de hoy».
«La evaluación de riesgos se ha vuelto casi imposible debido al creciente número de dependencias de servicios internos y externos. También de la dinámica del tiempo de ejecución, la entrega continua y el desarrollo de software políglota, que usa un número cada vez mayor de tecnologías de terceros. Los equipos que ya se ven obligados a elegir entre velocidad y seguridad, exponen sus organizaciones a riesgos innecesarios».