Het probleem stelt zich vooral als ontwikkelteams handmatig een groot aantal alerts moeten onderzoeken, waarvan een deel het gevolg is van kwetsbaarheden in bibliotheken die niet in operationele releases worden gebruikt. Bedrijven zijn zich bewust van het probleem, blijkt uit ht onderzoek waarvoor de cloudmonitoringspecialist Dynatrace zo’n zevenhonderd ciso’s (chief information security officer) ondervroeg.
Bijna negen op tien zegt dat microservices, containers en Kubernetes hebben geleid tot blinde vlekken in de applicatiebeveiliging. Een nog groter percentage (97 procent) van de respondenten heeft geen realtime-inzicht in operationele kwetsbaarheden binnen productieomgevingen gebaseerd op containers. Bijna twee derde (63 procent) zegt dat devops en agile-ontwikkelingen het moeilijker hebben gemaakt om kwetsbaarheden in software te detecteren en te beheren. Driekwart van de ciso’s is van mening dat traditionele scanoplossingen voor kwetsbaarheden niet meer geschikt zijn voor de huidige cloud-native wereld en zeven op de tien geeft toe dat ze niet volledig zeker zijn dat software geen kwetsbaarheden bevat voordat het operationeel wordt gebruikt.
Nieuwe alerts
Gemiddeld moeten organisaties maandelijks reageren op 2.169 nieuwe alerts over mogelijke kwetsbaarheden in de applicatiebeveiliging, zo blijkt. 77 procent van de ondervraagde ciso’s zegt dat het merendeel daarvan valse positieven zijn waarop geen actie moet worden ondernomen. Dat enorme volume zorgt er wel voor dat het stellen van prioriteiten op basis van risico en impact steeds lastiger wordt.
‘Het toenemend gebruik van cloud-native architecturen vraagt om een fundamenteel andere aanpak van applicatiebeveiliging’, zegt Bernd Greifeneder, oprichter en cto van Dynatrace. ‘Dit onderzoek bevestigt waarop wij al langere tijd anticiperen: handmatige scans naar kwetsbaarheden en assessments van de mogelijke impact kunnen de snelheid waarmee dynamische cloud-omgevingen veranderen en snelle innovatiecyclus niet meer bijbenen.’
Greifeneder wijst er ook op dat risicoanalyses worden bijna onmogelijk door het toenemend aantal interne en externe service-afhankelijkheden, dynamiek, continue leveringen en meertalige softwareontwikkelingen waarin steeds meer technologieën van derden worden gebruikt. ‘Al onder druk staande teams moeten kiezen tussen snelheid en beveiliging, waardoor organisaties onnodige risico’s lopen.’