Dynatrace’e göre, hibrit ve çoklu bulut ortamları daha karmaşık hale geldikçe ve ekipler, güvenlik açıklarının üretim ortamlarına sızmasını kolaylaştıran manuel süreçlere güvenmeye devam ettikçe, CISO’lar yazılımlarını güvende tutmanın giderek daha zor olduğunu düşünüyor.
Geliştirme, teslimat ve güvenlik görevleri için silo halindeki araçların sürekli kullanımı, DevSecOps’un benimsenmesinin olgunlaşmasını engelliyor. Bu, geliştirme, güvenlik ve BT operasyon ekiplerinin daha hızlı ve daha güvenli yenilik sunmasını sağlayan veri odaklı otomasyonu beslemek için gözlemlenebilirlik ve güvenliğin yakınsamasına yönelik artan ihtiyacı vurgulamaktadır.
Otomatik güvenlik açığı yönetimi
- CISO’ların %68’i, yazılım tedarik zincirlerinin ve bulut ekosistemlerinin karmaşıklığının artması nedeniyle güvenlik açığı yönetiminin daha zor olduğunu söylüyor.
- CISO’ların yalnızca %50’si, geliştirme ekipleri tarafından sağlanan yazılımın, üretim ortamlarında canlıya geçmeden önce güvenlik açıkları için tamamen test edildiğinden tamamen emin.
- CISO’ların %77’si, bu güvenlik açıklarının ortamları için oluşturduğu risk hakkında bilgi sahibi olmadıkları için güvenlik açıklarına öncelik vermenin zor olduğunu söylüyor.
- Güvenlik tarayıcılarının tek başına “kritik” olarak işaretlediği güvenlik açığı uyarılarının %58’i üretimde önemli değildir ve yanlış pozitifleri kovalamak için değerli geliştirme zamanını boşa harcar.
- Ortalama olarak, geliştirme ve uygulama güvenliği ekiplerinin her üyesi, zamanlarının %28’ini veya her hafta 11 saatini otomatikleştirilebilecek güvenlik açığı yönetimi görevlerine harcıyor.
Dynatrace CTO’su Bernd Greifeneder, “Kuruluşlar, hizmetlerini ve verilerini güvende tutmak için kurdukları yönetişim ve güvenlik kontrolleri ile daha hızlı inovasyon ihtiyacını dengelemekte zorlanıyor” dedi.
“Dijital inovasyonun temelini oluşturan yazılım tedarik zincirlerinin ve buluta özgü teknoloji yığınlarının artan karmaşıklığı, yeni güvenlik açıkları ortaya çıktığında yanıt çabalarını hızlı bir şekilde tanımlamayı, değerlendirmeyi ve önceliklendirmeyi giderek daha zor hale getiriyor. Bu görevler, insanın yönetme yeteneğinin ötesine geçti. Geliştirme, güvenlik ve BT ekipleri, sahip oldukları güvenlik açığı yönetimi kontrollerinin, işletmelerini kabul edilemez risklere maruz bırakan günümüzün dinamik dijital dünyasında artık yeterli olmadığını görüyorlar,” diye devam etti Greifeneder.
DevSecOps’u benimsemenin faydaları
- CISO’ların %75’i, DevSecOps yaşam döngüsü boyunca ekip silolarının ve nokta çözümlerinin yaygınlığının, güvenlik açıklarının üretime sızmasını kolaylaştırdığını söylüyor.
- CISO’ların %81’i, DevSecOps’u daha verimli çalıştıramazlarsa daha fazla güvenlik açığından yararlanacaklarını söylüyor; ancak kuruluşların yalnızca %12’si olgun bir DevSecOps kültürüne sahip.
- CISO’ların %86’sı yapay zeka ve otomasyonun DevSecOps’un başarısı ve kaynak zorluklarının üstesinden gelmek için kritik öneme sahip olduğunu söylüyor.
- CISO’ların %76’sı, sıfırıncı gün saldırılarının keşfedilmesi ile her durumda yama yapma becerileri arasında geçen sürenin, riski en aza indirmek için önemli bir zorluk olduğunu söylüyor.
Greifeneder, “DevSecOps’un birçok faydasına ilişkin yaygın bir anlayışa rağmen, çoğu kuruluş, bağlamdan yoksun ve analitiği sınırlayan silo halindeki veriler nedeniyle bu uygulamaları benimsemenin ilk aşamalarında kalıyor” diye devam etti.
“Bunun üstesinden gelmek için, gözlemlenebilirlik ve güvenlik verilerini birleştiren ve gücünü güvenilir yapay zeka ve akıllı otomasyondan alan çözümler kullanmalılar. Dynatrace platformunu tam olarak bunu yapmak için tasarladık. Sonuç olarak, müşterilerimiz güvenlik açıklarını belirleyip öncelik sırasına koymak için harcadıkları zamanı yüzde 95’e kadar azalttı ve bu da onları sektörlerinin ön saflarında tutan daha hızlı, daha güvenli inovasyon sunmalarına yardımcı oldu.”