La creciente adopción de arquitecturas nativas de la nube, DevOps y metodologías ágiles ha roto los enfoques tradicionales de la seguridad de las aplicaciones.

A medida que las organizaciones trasladan más responsabilidad “a un lado” a los desarrolladores para acelerar la innovación, los ecosistemas de TI cada vez más complejos y las herramientas de seguridad anticuadas pueden ralentizar los lanzamientos al dejar puntos ciegos y obligar a los equipos a triar manualmente innumerables alertas, muchas de las cuales son falsos positivos que reflejan vulnerabilidades en bibliotecas que no se utilizan en producción. Así lo revela la empresa de inteligencia de software Dynatrace, al dar a conocer los resultados de una encuesta global independiente realizada a 700 CISO.

Las organizaciones reclaman un nuevo enfoque optimizado para entornos multicloud, Kubernetes y DevSecOps, según el informe complementario Precise, automatic risk and impact assessment is key for DevSecOps.

Algunos hallagos

Entre los hallazgos de esta investigación destaca que:

• El 89% de los CISO dicen que los microservicios, contenedores y Kubernetes han creado puntos ciegos en la seguridad de las aplicaciones.
• El 74% de los CISO dicen que los controles de seguridad tradicionales, como los escáneres de vulnerabilidad, ya no se adaptan al mundo nativo de la nube de hoy en día.
• El 97% de las organizaciones no tienen visibilidad en tiempo real de las vulnerabilidades en tiempo de ejecución en entornos de producción en contenedores.
• Casi dos tercios (63%) de los CISO dicen que DevOps y el desarrollo ágil han hecho más difícil detectar y gestionar las vulnerabilidades del software.
• El 71% de los CISOs admiten que no están totalmente seguros de que el código esté libre de vulnerabilidades antes de entrar en producción.

“El creciente uso de arquitecturas nativas de la nube ha roto fundamentalmente los enfoques tradicionales de la seguridad de las aplicaciones”, explicó Bernd Greifeneder, fundador y director de tecnología de Dynatrace. “Esta investigación confirma lo que hemos anticipado durante mucho tiempo: los análisis manuales de vulnerabilidad y las evaluaciones de impacto ya no son capaces de mantener el ritmo de cambio en los entornos dinámicos de la nube y los rápidos ciclos de innovación de hoy en día. La evaluación de riesgos se ha vuelto casi imposible debido al creciente número de dependencias de servicios internos y externos, la dinámica del tiempo de ejecución, la entrega continua y el desarrollo de software políglota que utiliza un número cada vez mayor de tecnologías de terceros. Los equipos, que ya están al límite, se ven obligados a elegir entre velocidad y seguridad, exponiendo a sus organizaciones a riesgos innecesarios.”

Otras conclusiones son:

• En promedio, las organizaciones necesitan reaccionar a 2,169 nuevas alertas de potenciales vulnerabilidades de seguridad de aplicaciones cada mes.
• El 77% de los CISO dicen que la mayoría de las alertas y vulnerabilidades de seguridad son falsos positivos que no requieren acción ya que no son exposiciones reales.
• El 68% de los CISO dicen que el volumen de alertas hace muy difícil priorizar las vulnerabilidades en base al riesgo y al impacto.
• El 64% de los CISO dicen que los desarrolladores no siempre tienen tiempo para resolver las vulnerabilidades antes de que el código pase a producción.
• El 77% de los CISO dicen que la única manera de que la seguridad se mantenga al día con los entornos modernos de aplicaciones nativas de la nube es reemplazar el despliegue manual, la configuración y la gestión con enfoques automatizados.
• El 28% de los CISO dicen que los equipos de aplicaciones a veces pasan por alto los escaneos de vulnerabilidad para acelerar la entrega de software.

“A medida que las organizaciones adoptan DevSecOps, también necesitan dar a sus equipos soluciones que ofrezcan un análisis de riesgo e impacto automático, continuo y en tiempo real para cada vulnerabilidad, tanto en entornos de preproducción como de producción, y no basado en ‘instantáneas’ puntuales”, aseveró Greifeneder”.

El informe se basa en una encuesta global de 700 CISOs en grandes empresas con más de 1,000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en 2021. La muestra incluyó 200 encuestados en Estados Unidos, 100 en el Reino Unido, Francia, Alemania y España, y 50 en Brasil y México, respectivamente.