El 75 % de los CISO está preocupado por las brechas de vulnerabilidades de aplicaciones en producción

Madrid, 7 de julio de 2022 – La empresa de inteligencia de software Dynatrace  (NYSE: DT) anuncia los resultados de una encuesta global independiente y realizada entre 1300 directores de seguridad de la información (CISO) de grandes organizaciones. La investigación revela que la velocidad y la complejidad generadas por los entornos multinube, junto a los múltiples lenguajes de codificación y las bibliotecas de software de código abierto, dificultan la gestión de vulnerabilidades.

De hecho, el 75 % de los CISO afirma que, a pesar de tener un enfoque que integra la seguridad en cada una de las capas de las aplicaciones, las brechas de seguridad persistentes permiten que las vulnerabilidades entren en producción. Estos datos recalcan la creciente necesidad de que la observabilidad y la seguridad converjan, facilitando las prácticas AISecDevOps, para que las organizaciones sean más efectivas en la gestión de vulnerabilidades en tiempo de ejecución y en la capacidad de detectar y bloquear ataques en tiempo real.

El informe está disponible para su descarga en el siguiente enlace, Observability and security must converge to enable effective vulnerability management.

Entre las conclusiones del estudio, destacan:

• El 69 % de los CISO afirma que la gestión de vulnerabilidades se ha vuelto más difícil a medida que aumenta la necesidad de acelerar la transformación digital.
• Más de las tres cuartas partes (79 %) de los CISO señalan que la gestión automática y continua de vulnerabilidades en tiempo de ejecución es clave para llenar el vacío en las capacidades de las soluciones de seguridad existentes. Sin embargo, solo el 4 % de las organizaciones tienen visibilidad en tiempo real de ellas durante la ejecución en entornos de producción en contenedores.
• Solo el 25 % de los equipos de seguridad pueden acceder a un informe completamente preciso y continuamente actualizado de cada aplicación y de la biblioteca de códigos que se ejecutan en producción, en tiempo real.

Según Bernd Greifeneder, director de tecnología de Dynatrace, “estos datos subrayan que siempre hay oportunidades para que las vulnerabilidades burlen a los equipos de seguridad, independientemente de los sólidas que sean sus defensas. Tanto las aplicaciones nuevas como el software legacy son propensos a vulnerabilidades que se detectan de manera más fiable en producción. Log4Shell  fue el símbolo de este problema y, sin duda, habrá otros escenarios como éste en el futuro” –y añade – “También está claro que la mayoría de las organizaciones carecen de visibilidad en tiempo real de las vulnerabilidades durante la ejecución. El problema surge del creciente uso de prácticas de distribución de aplicaciones nativas de la nube, que permiten una mayor agilidad empresarial, pero también introducen una nueva complejidad para la gestión de vulnerabilidades, la detección de ataques y el bloqueo. El ritmo acelerado de la transformación digital significa que los equipos, ya sobrecargados, son bombardeados por miles de alertas de seguridad, que hacen que sea imposible ver a través del ruido y concentrarse en lo que importa. A estos les resulta imposible responder manualmente a cada alerta, y las organizaciones están expuestas a riesgos innecesarios al permitir que las vulnerabilidades escapen a la producción”.

Además, la encuesta revela que:

• Las organizaciones reciben una media de 2027 alertas mensuales de posibles vulnerabilidades de seguridad de aplicaciones.
• Menos de un tercio (32 %) de las alertas de vulnerabilidad de seguridad de aplicaciones que las organizaciones reciben cada día requieren una acción, frente al 42 % del año pasado.
• Los equipos de seguridad de aplicaciones pierden un promedio del 28 % de su tiempo en tareas de gestión de vulnerabilidades que podrían automatizarse.

Para Greifeneder, “las organizaciones son conscientes de que, para administrar las vulnerabilidades en la nube de forma nativa, la seguridad debe convertirse en una responsabilidad compartida. La convergencia de la observabilidad y la seguridad es fundamental para proporcionar a los equipos de desarrollo, operaciones y seguridad, el contexto necesario para comprender cómo se conectan sus aplicaciones, dónde se encuentran las vulnerabilidades y cuáles deben priorizarse. Esto acelera la gestión de riesgos y la respuesta a incidentes” –continúa– “Para ser realmente efectivas, las organizaciones deben buscar soluciones que tengan capacidades de inteligencia artificial y automatización en su núcleo, lo que permite AISecDevOps. Estas soluciones dejan a los equipos identificar y priorizar rápidamente las vulnerabilidades durante la ejecución, bloquear ataques en tiempo real y reparar fallos de software antes de que puedan ser explotadas. Esto significa que los equipos pueden dejar de perder el tiempo en “war rooms” (salas de operaciones) o perseguir falsos positivos y posibles vulnerabilidades que nunca llegarán a producción. En su lugar, proporcionan un software fiable, mejor, más seguro y a mayor velocidad”.

El informe se basa en una encuesta global a 1300 CISO de grandes empresas con más de 1000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en abril de 2022. La muestra incluye 200 encuestados en EE. UU., 100 en Reino Unido, Francia, Alemania, España, Italia, los países nórdicos, Oriente Medio, Australia e India, respectivamente y 50 en Singapur, Malasia, Brasil y México.