Für schnelle Innovationen setzen Unternehmen zunehmend auf agile, Cloud-native Architekturen. Deren hohe Dynamik erschwert den IT-Teams jedoch das Entdecken und Beheben von Sicherheitslücken. So sind herkömmliche, statische Ansätze zur Anwendungssicherheit nicht mehr praktikabel. Entsprechend sagen 89 Prozent der Unternehmen, dass durch Microservices, Container und Kubernetes tote Winkel bei der Anwendungssicherheit entstanden sind. Das zeigt der weltweite CISO Report von Dynatrace.
Doch Zeit ist nicht nur ein kritischer Faktor aus Sicht der Anwendungen, sondern auch der IT-Teams. Denn aufgrund der hohen Dynamik müssen bereits die Entwickler dafür sorgen, dass der Code keine Sicherheitslücken aufweist. Diese haben jedoch häufig nicht genügend Zeit und Ressourcen für manuelle Security-Tests. So besteht die Gefahr, dass selbst bekannte Schwachstellen in Produktionsumgebungen bestehen, wo sie von herkömmlichen Sicherheits-Tools unentdeckt bleiben.
Laut der Studie sind 71 Prozent der CISOs nicht vollständig überzeugt, dass ihr Code keine Sicherheitslücken aufweist, wenn er in die Produktion übergeht. 85 Prozent sind der Meinung, dass Anwendungs- und DevOps-Teams mehr Security-Verantwortung übernehmen müssen. Entsprechend wächst der Bedarf an DevSecOps-Prozessen.
Automatisierte Prozesse nötigDiese müssen vor allem dafür sorgen, dass die Security-Tests automatisiert erfolgen. Denn in Cloud-native Umgebungen entstehen und verschwinden Container innerhalb weniger Sekunden. Daher ist eine manuelle Beurteilung der Gefahren unmöglich.
Schon 74 Prozent der CISOs sind davon überzeugt, dass herkömmliche Sicherheits-Tools wie Schwachstellen-Scanner in der heutigen Cloud-native Welt nicht mehr geeignet sind. Denn sie ermöglichen nur eine statische Darstellung zu einem bestimmten Zeitpunkt. Zudem unterscheiden sie nicht zwischen potenziellen Risiken und tatsächlicher Gefährdung.
Echte Gefahr oder Fehlalarm?Automatische Tools helfen, das Risikopotential einer Sicherheitslücke besser einzuschätzen. Heute erhalten Unternehmen monatlich im Durchschnitt 2.169 neue Warnungen, wobei nur 42 Prozent davon tatsächlich geeignete Gegenmassnahmen erfordern.
DevSecOps-Teams sind aufgrund der Unmenge an Meldungen oft nicht in der Lage, eine Priorisierung der zu behebenden Probleme vorzunehmen. Stattdessen verschwenden sie unzählige Stunden, um lange Listen mit Schwachstellen zu sichten.
Einheitliche Plattform gefordertUnternehmen können aber nur dann die Sicherheit ihrer Cloud-native Anwendungen gewährleisten, wenn ihre DevSecOps-Teams die exakten Auswirkungen von Runtime-Schwachstellen in ihren Produktionsumgebungen in Echtzeit sehen. Dazu benötigen sie einen Sicherheitsansatz auf Basis einer einheitlichen Plattform, die vollständige Transparenz der gesamten Cloud-Umgebung und sämtlicher Stadien des Softwarebereitstellungszyklus bietet.
So sind 89 Prozent der CISOs überzeugt, dass die Anwendungssicherheit einfacher zu handhaben ist, wenn Test- und Observability-Tools in einer Plattform mit Gesamtüberblick zusammengeführt sind. 90 Prozent glauben, dass sie Innovationen schneller bereitstellen können, wenn sie eine Security-Plattform für den gesamten Softwarezyklus nutzen. Und laut 77 Prozent lässt sich Sicherheit in Cloud-native Umgebungen nur gewährleisten, wenn manuelle Bereitstellung, Konfiguration und Management durch automatische Abläufe ersetzt werden.
Wird dieser Ansatz kombiniert mit KI, erhalten DevSecOps-Teams in Echtzeit präzise Aussagen über Ursachen, Art und Auswirkungen von Sicherheitslücken. Auf dieser Basis können sie falsch positive Meldungen eliminieren, die Problembehebung richtig priorisieren und ihre Abhängigkeit von manuellen Prozessen reduzieren. Dies verkürzt Release-Zyklen und beschleunigt Innovationen.
Die vollständige Studie mit vielen weiteren Umfrageergebnissen gibt es hier zum Download:
https://www.dynatrace.de
