Quando si parla di trasformazione digitale legata alle dinamiche della pandemia si pensa subito al cloud e all'Everywhere Workplace. In realtà le sfaccettature di quello che sta accadendo sono molte. Una ricerca Dynatrace si è soffermata in particolare sul DevOps. Da una parte consente la creazione di
microservizi per le architetture cloud native, dall'altro stanno invalidando l'utilità della sicurezza informatica tradizionale.
Per fare il punto Coleman Parkes ha intervistato per conto di Dynatrace 700 CISO in grandi imprese globali, che hanno all'attivo un minimo di 1.000 dipendenti. I risultati destano non poche preoccupazioni. L'89 percento degli intervistati afferma che microservizi, container e Kubernetes
hanno creato punti ciechi nella sicurezza delle applicazioni.
Il 97 percento delle aziende
non ha visibilità in tempo reale sulle vulnerabilità di runtime negli ambienti di produzione containerizzati. Quasi i due terzi (63%) dei CISO afferma che DevOps e lo sviluppo Agile hanno reso più difficile rilevare e gestire le vulnerabilità del software, tanto che il 74% del campione afferma che
i controlli di sicurezza tradizionali come gli scanner di vulnerabilità non si adattano più al mondo cloud-native di oggi. La logica conseguenza è che il 71% dei CISO non si sente completamente sicuro che il codice sia privo di vulnerabilità prima di entrare in produzione.
Il problema è grave, perché i punti ciechi di cui si parla finiscono per costringere i team a valutare manualmente innumerevoli alert di sicurezza, molti dei quali sono falsi positivi,
aumentando la cosiddetta alert fatigue e abbassando l'efficacia del lavoro di prevenzione e protezione.
Bernd Greifeneder, Founder e Chief Technology Officer di Dynatrace, sottolinea che “l
a valutazione del rischio è diventata quasi impossibile a causa del numero crescente di dipendenze interne ed esterne dei servizi, delle dinamiche di runtime, della delivery continua e dello sviluppo di software poliglotti che utilizza un numero sempre crescente di tecnologie di terze parti. I team già al limite sono costretti a scegliere tra velocità e sicurezza, esponendo le loro organizzazioni a rischi inutili”.
Per rendere l'idea della portata del problema, in media
le aziende devono reagire mensilmente a 2.169 nuovi avvisi di potenziali vulnerabilità della sicurezza delle applicazioni. Il 77% dei CISO reputa che la maggior parte di questi siano falsi positivi. Tuttavia, il 68% ricorda che un volume così elevato di alter
rende molto difficile prioritizzare le vulnerabilità in base al rischio e all’impatto.
A questo si aggiunge il problema dei
ritmi di sviluppo accelerati, che spesso non permettono agli sviluppatori di risolvere le vulnerabilità prima che il codice entri in produzione. Da qui la richiesta: il 77% dei CISO chiede di
sostituire l’implementazione, la configurazione e la gestione manuali con approcci automatizzati.
Il passaggio da DevOps a DevSecOps è del resto un argomento di stringente attualità, alla luce dell'
attacco alla supply chain di Solar Winds. Greifeneder rimarca che “
Man mano che le organizzazioni adottano DevSecOps, devono anche fornire ai propri team soluzioni che offrano analisi di rischio e impatto automatiche, continue e in tempo reale per ogni vulnerabilità, in ambienti sia di pre-produzione che di produzione, e non basate su 'istantanee' di un singolo momento”.
Maggiori informazioni sulla ricerca sono contenute nel report gratuito “
Precise, automatic risk and impact assessment is key for DevSecOps” scaricabile dal
sito del produttore.