CISOs temem vazamento de vulnerabilidades no desenvolvimento de aplicações

A velocidade e a complexidade trazidas pelo uso de ambientes multicloud, diversas linguagens de codificação e bibliotecas de software de código aberto estão dificultando o gerenciamento de vulnerabilidades. Estudo global da Dynatrace apontou que 75% dos CISOs dizem que, apesar de ter uma postura de segurança em várias camadas, as lacunas persistentes de cobertura permitem vulnerabilidades na produção de software. A pesquisa ouviu 1.300 CISOs em organizações de grande porte.

Para 69% dos líderes de segurança, o gerenciamento de vulnerabilidades se tornou mais difícil à medida que a necessidade de acelerar a transformação digital aumentou. Em média, as organizações recebem 2.027 alertas de possíveis vulnerabilidades de segurança de aplicações a cada mês. Ao mesmo tempo, as equipes de segurança de aplicações desperdiçam, em média, 28% de seu tempo em tarefas de gerenciamento de vulnerabilidades que podem ser automatizadas.

A pesquisa destaca a crescente necessidade de convergência de observabilidade e segurança, abrindo caminho para as práticas de AISecDevOps. “Isso capacitará as organizações com uma maneira mais eficaz de gerenciar vulnerabilidades em tempo de execução e a capacidade de detectar e bloquear ataques em tempo real”, reforça o relatório.

Se por um lado, mais de três quartos (79%) dos CISOs dizem que o gerenciamento automático e contínuo de vulnerabilidades em tempo de execução é fundamental para preencher a lacuna nos recursos das soluções de segurança existentes. Do outro, apenas 4% das organizações têm visibilidade em tempo real das vulnerabilidades de tempo de execução em ambientes de produção em contêineres.

Segundo o estudo, apenas 25% das equipes de segurança podem acessar um relatório totalmente preciso e continuamente atualizado de cada aplicação e biblioteca de código em execução em produção em tempo real.

“Essas descobertas ressaltam que sempre é possível que as vulnerabilidades passem despercebidas pelas equipes de segurança, independentemente de quão robustas sejam suas defesas. Tanto as novas aplicações quanto o software legado estável são propensos a vulnerabilidades que são detectadas de forma mais confiável nas etapas de produção e análise. O Log4Shell foi o garoto-propaganda desse problema e, sem dúvida, haverá outros cenários como esse no futuro”, diz Bernd Greifeneder, diretor de Tecnologia da Dynatrace.

O executivo destaca, ainda, que a maioria das organizações ainda não tem visibilidade em tempo real das vulnerabilidades em tempo de execução. “O problema decorre do uso crescente de práticas de entrega nativas da nuvem, que permitem maior agilidade nos negócios, mas também introduzem nova complexidade para gerenciamento de vulnerabilidades, detecção de ataques e bloqueio. O ritmo acelerado da transformação digital significa que equipes já sobrecarregadas são bombardeadas por milhares de alertas de segurança que impossibilitam enxergar através do ruído e se concentrar no que importa. As equipes acham impossível responder manualmente a todos os alertas e as organizações estão expostas a riscos desnecessários ao permitir que as vulnerabilidades escapem para a produção”, ressalta.