Visibilità delle vulnerabilità di runtime: i CISO chiedono automazione

Negli ambienti di produzione containerizzati è difficile avere visibilità in tempo reale delle vulnerabilità di runtime. Ecco problemi e possibili soluzioni.

Autore: Redazione SecurityOpenLab

Quando si parla di trasformazione digitale legata alle dinamiche della pandemia si pensa subito al cloud e all'Everywhere Workplace. In realtà le sfaccettature di quello che sta accadendo sono molte. Una ricerca Dynatrace si è soffermata in particolare sul DevOps. Da una parte consente la creazione di microservizi per le architetture cloud native, dall'altro stanno invalidando l'utilità della sicurezza informatica tradizionale.

Per fare il punto Coleman Parkes ha intervistato per conto di Dynatrace 700 CISO in grandi imprese globali, che hanno all'attivo un minimo di 1.000 dipendenti. I risultati destano non poche preoccupazioni. L'89 percento degli intervistati afferma che microservizi, container e Kubernetes hanno creato punti ciechi nella sicurezza delle applicazioni.

Il 97 percento delle aziende non ha visibilità in tempo reale sulle vulnerabilità di runtime negli ambienti di produzione containerizzati. Quasi i due terzi (63%) dei CISO afferma che DevOps e lo sviluppo Agile hanno reso più difficile rilevare e gestire le vulnerabilità del software, tanto che il 74% del campione afferma che i controlli di sicurezza tradizionali come gli scanner di vulnerabilità non si adattano più al mondo cloud-native di oggi. La logica conseguenza è che il 71% dei CISO non si sente completamente sicuro che il codice sia privo di vulnerabilità prima di entrare in produzione.

Il problema è grave, perché i punti ciechi di cui si parla finiscono per costringere i team a valutare manualmente innumerevoli alert di sicurezza, molti dei quali sono falsi positivi, aumentando la cosiddetta alert fatigue e abbassando l'efficacia del lavoro di prevenzione e protezione.

Bernd Greifeneder, Founder e Chief Technology Officer di Dynatrace, sottolinea che “la valutazione del rischio è diventata quasi impossibile a causa del numero crescente di dipendenze interne ed esterne dei servizi, delle dinamiche di runtime, della delivery continua e dello sviluppo di software poliglotti che utilizza un numero sempre crescente di tecnologie di terze parti. I team già al limite sono costretti a scegliere tra velocità e sicurezza, esponendo le loro organizzazioni a rischi inutili”.

Per rendere l'idea della portata del problema, in media le aziende devono reagire mensilmente a 2.169 nuovi avvisi di potenziali vulnerabilità della sicurezza delle applicazioni. Il 77% dei CISO reputa che la maggior parte di questi siano falsi positivi. Tuttavia, il 68% ricorda che un volume così elevato di alter rende molto difficile prioritizzare le vulnerabilità in base al rischio e all’impatto.

A questo si aggiunge il problema dei ritmi di sviluppo accelerati, che spesso non permettono agli sviluppatori di risolvere le vulnerabilità prima che il codice entri in produzione. Da qui la richiesta: il 77% dei CISO chiede di sostituire l’implementazione, la configurazione e la gestione manuali con approcci automatizzati.

Il passaggio da DevOps a DevSecOps è del resto un argomento di stringente attualità, alla luce dell'attacco alla supply chain di Solar Winds. Greifeneder rimarca che “Man mano che le organizzazioni adottano DevSecOps, devono anche fornire ai propri team soluzioni che offrano analisi di rischio e impatto automatiche, continue e in tempo reale per ogni vulnerabilità, in ambienti sia di pre-produzione che di produzione, e non basate su 'istantanee' di un singolo momento”.

Maggiori informazioni sulla ricerca sono contenute nel report gratuito “Precise, automatic risk and impact assessment is key for DevSecOps” scaricabile dal sito del produttore.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.