München, Starnberg, 17. Juni 2021 - Dynatrace Studie: Microservices, Container & Kubernetes führen zu blinden Flecken in der Anwendungssicherheit; neuer Ansatz gefordert...
Zum Beitrag: Traditionelle Ansätze für die Anwendungssicherheit sind durch die zunehmende Nutzung von Cloud-nativen Architekturen, DevOps und agilen Methoden überfordert. Das ist eines der Ergebnisse der unabhängigen weltweiten Umfrage im Auftrag des Software-Intelligence-Anbieters Dynatrace. Die Studie wurde unter 700 Verantwortlichen für die Informations- und Datensicherheit im Unternehmen (CISO) durchgeführt. (1) Unternehmen verlagern mehr Verantwortung auf die Entwickler, um Innovationen zu beschleunigen. Doch komplexe IT-Systeme und veraltete Sicherheitstools verlangsamen den Prozess, indem sie zu vielen Alarmmeldungen führen, die sich nach aufwändiger manueller Prüfung häufig als False Positives herausstellen.
Ein sogenanntes False Positive oder Falsch Positiv ist ein Fehler bei einer Überprüfung, bei der ein vordefinierter Zustand fälschlicherweise als solcher erkannt wurde. So benötigen Unternehmen einen neuen Ansatz, der für Multicloud-Umgebungen, Kubernetes und DevSecOps optimiert ist. Hier eine kurze Zusammenfassung wichtiger Ergebnisse aus der Kundenbefragung:
Laut 89 Prozent der CISOs haben Microservices, Container und Kubernetes zu blinden Flecken in der Anwendungssicherheit geführt.
74 Prozent der CISOs sagen, dass herkömmliche Sicherheitslösungen wie Schwachstellen-Scanner nicht mehr in die heutige Cloud-native Welt passen.
97 Prozent der Unternehmen haben keine Echtzeit-Transparenz bei Runtime-Schwachstellen in containerisierten Produktionsumgebungen.
Fast zwei Drittel (63 %) der CISOs glauben, dass DevOps und agile Entwicklung es erschwert haben, Software-Schwachstellen zu erkennen und zu verwalten.
71 Prozent der CISOs sind sich nicht völlig sicher, ob der Code frei von Schwachstellen ist, bevor er live geht.
Abb. Auszug von der Studie „Precise, automatic risk and impact assessment is key for DevSecOps“ (Bildquelle: Dynatrace).
Im Durchschnitt müssen Unternehmen jeden Monat auf 2.169 neue Warnmeldungen zu möglichen Sicherheitslücken in Anwendungen reagieren.
Laut 77 Prozent der CISOs handelt es sich bei den meisten Sicherheitswarnungen und gemeldeten Schwachstellen um Fehlalarme, die keine Maßnahmen erfordern.
Für 68 Prozent der CISOs erschwert es die Menge an Warnmeldungen sehr, Schwachstellen nach Risiko und Auswirkung zu priorisieren.
64 Prozent der CISOs sagen, dass Entwickler nicht immer die Zeit haben, Schwachstellen zu beheben, bevor der Code in die Produktion geht.
77 Prozent der CISOs glauben: Die einzige Möglichkeit, mit modernen Cloud-nativen Anwendungsumgebungen Schritt zu halten, ist die Ablösung manueller Bereitstellung, Konfiguration und Verwaltung durch automatisierte Ansätze.
Gemäß 28 Prozent der CISOs umgehen Anwendungsteams manchmal Schwachstellenscans, um die Softwarebereitstellung zu beschleunigen.
Dazu Bernd Greifeneder, Gründer und Chief Technology Officer bei Dynatrace: „Der zunehmende Einsatz von Cloud-nativen Architekturen überfordert die traditionellen Ansätze zur Anwendungssicherheit völlig. Diese Studie bestätigt, was wir schon lange erwartet haben: Manuelle Schwachstellen-Scans und Impact Assessments können mit dem Tempo der Veränderungen in den heutigen dynamischen Cloud-Umgebungen und den schnellen Innovationszyklen nicht mehr mithalten. Die Risikobewertung ist aufgrund der wachsenden Anzahl interner und externer Service-Abhängigkeiten, der Runtime-Dynamik, der kontinuierlichen Bereitstellung und der mehrsprachigen Softwareentwicklung, die eine ständig wachsende Anzahl von Drittanbieter-Technologien nutzt, nahezu unmöglich geworden. Bereits überlastete Teams sind gezwungen, zwischen Geschwindigkeit und Sicherheit zu wählen. So setzen sie ihre Organisationen unnötigen Risiken aus.“ Link > https://www.dynatrace.com/news/blog/
(1) Quelle: Die Studie basiert laut Dynatrace auf einer weltweiten Umfrage unter 700 CISOs in Unternehmen mit mehr als 1.000 Mitarbeitern, die von Coleman Parkes im Auftrag von Dynatrace im Jahr 2021 durchgeführt wurde. Sie umfasst 200 Befragte in den USA, jeweils 100 in Deutschland, Frankreich, Großbritannien und Spanien sowie jeweils 50 in Brasilien und Mexiko.
Querverweis: