Isolierte Teams, die wachsende Komplexität von Hybrid- und Multi-Cloud-Umgebungen sowie die anhaltende Abhängigkeit von manuellen Prozessen machen es einfacher, Schwachstellen in Produktionsumgebungen zu schleichen und schwerer zu erkennen und zu beheben.
Ohne eine verbesserte Effektivität in DevSecOps werden Schwachstellen-Exploits sowohl in der Anzahl als auch in der Zerstörungskraft weiter zunehmen.
Dies geht aus einem neuen Bericht von Dynatrace hervor, der 1.300 Chief Information Security Officers (CISOs) in großen Organisationen auf der ganzen Welt befragte und herausfand, dass 75 % der Meinung sind, dass die Verbreitung von Teamsilos und Punktlösungen während des gesamten DevSecOps-Lebenszyklus es leichter macht, Schwachstellen auszuschlüpfen in die Produktion.
DevSecOps-Risiko
Darüber hinaus hat Dynatrace herausgefunden, dass vier von fünf (81 %) der CISOs sagen, dass sie mehr Schwachstellen-Exploits erwarten, wenn sie DevSecOps nicht effektiver arbeiten lassen – obwohl nur 12 % der Unternehmen sagen, dass sie eine „ausgereifte“ DevSecOps-Kultur haben.
Obwohl Dynatrace nicht detailliert beschreibt, was eine „ausgereifte“ DevSecOps-Kultur beinhaltet, heißt es doch, dass 86 % der CISOS KI und Automatisierung als „entscheidend“ für den Erfolg ansehen.
Tatsächlich sagen 77 % der CISOs, dass es eine „erhebliche Herausforderung“ ist, Schwachstellen zu priorisieren, weil ihnen Informationen über das Risiko fehlen, das diese Schwachstellen für ihre Umgebung darstellen, und 58 % der Schwachstellenwarnungen, die Sicherheitsscanner allein als „kritisch“ kennzeichnen, sind nicht wichtig in Produktion. Einzelne Mitglieder des DevSecOps-Teams verbringen mehr als ein Viertel (28 %) ihrer Zeit mit Schwachstellenmanagementaufgaben, die automatisiert werden könnten. Mit der Automatisierung könnte jedes Mitglied bis zu 11 Stunden seiner Zeit einsparen – jede Woche.
Außerdem glauben drei Viertel (76 %) der CISOs an die Zeitspanne zwischen der Entdeckung eines Zero-Day-Angriffs und der Möglichkeit, jeden Endpunkt zu patchen (öffnet in neuem Tab) stellt eine „erhebliche Herausforderung“ dar.
Laut Bernd Greifeneder, Chief Technology Officer bei Dynatrace, sollten Unternehmen Lösungen verwenden, die „Beobachtbarkeits- und Sicherheitsdaten zusammenführen und auf vertrauenswürdiger KI und intelligenter Automatisierung basieren“.
DevSecOps ist die Abkürzung für Development, Security and Operations und bezieht sich im Allgemeinen auf einen Geschäftsansatz, bei dem Produktsicherheit kein nachträglicher Einfall oder etwas ist, das am Ende des Entwicklungszyklus eines Produkts angegangen wird, sondern etwas, das während des gesamten IT-Lebenszyklus verankert ist und liegt in der gemeinsamen Verantwortung mehrerer Teams.