©2023Dynatrace 可观察性和安全性的融合对于实现DevSecOps潜力至关重要 DynatraceCISO报告2023 Introduction 组织越来越多地采用DevSecOps实践来推动更快的创新,而不会增加安全风险。 这些实践将开发、安全和运营团队联合起来,使他们能够在开发生命周期的每个阶段交付更安全的软件。 然而,这些努力中的大多数仍然相对不成熟,因为开发、安全和运营团队继续在孤岛中工作,并依赖自己拼凑的点工具 管理他们的个人任务。此外,团队将安全责任转移到开发和预生产(也称为“左移”),并孤立地验证在生产运行时部署的应用程序的安全性(或“右移”),而不是集体努力。这些活动可能会造成低效率,从而削弱DevSecOps的有效性。关键漏洞也可以更容易和更频繁地泄漏到生产中 ,使组织面临不必要的风险。 本报告探讨了这些挑战,并强调了首席信息安全官(CISO)如何通过统一可观察性和安全性来支持更有效的数据驱动的DevSecOps自动化来克服这些挑战。 Dev Ops Sec 里面是什么 CHAPTER1 复杂性的增加使云环境更难以保护 CHAPTER2 碎片化的工具集和手动应用程序安全流程削弱了信心和生产力 CHAPTER3 现代开发和交付实践使其很难领先于零日漏洞 CHAPTER4 工具扩张和团队孤岛阻碍了 DevSecOps实践 CHAPTER5 DevSecOps实践仍然不成熟 Conclusion TheDynatracedifference APPENDIX 方法论和全球数据汇总 Dynatrace2023CISO报告|2 CHAPTER1 复杂性的增加使云环境更加难以安全 随着数字化转型的不断加速,支撑当今数字体验的云应用程序变得更加复杂和分布式。不仅如此,对本土、专有和开放源代码混合的依赖日益增加,使得在整个软件开发生命周期中管理风险变得更加困难。 除了识别开源库和自定义代码中的漏洞外,开发和安全团队还必须优先处理其最关键的任务,并使用其 CISO表示,随着软件供应链和云生态系统的复杂性增加,漏洞管理变得更加困难。 合作伙伴可以修复产品中的缺陷,这些缺陷会使组织面临更高的安全风险。为了支持这些工作,团队需要更多的自动化和精确的答案,以实时识别和揭示安全漏洞的影响。 考虑到与供应商合作的困难,CISO在最小化风险方面面临着重大挑战 识别和解决软件供应链中的漏洞。 77%的CISO说这是一个重要的 优先考虑漏洞的挑战因为缺 乏有关它们对环境构成的风险的信息。 83%许多安全团队无法实时访问完全准确的软件材料清单(SBOM)。 27%CISO表示,不可能创建一个完全准确的SBOM,因为他们的环境不断变化。 88%CISO表示,如果解决方案将应用程序运行时上下文与漏洞分析和风险影响评估相结合,漏洞管理将更容易。 Dynatrace2023CISO报告|5 62%的组织使用四个或更多的解决方案 以维护其应用程序的安全性。 CHAPTER2 碎片化的工具集和手动应用程序安全流程削弱了信心和生产力 大多数组织都采用了多种解决方案来保护应用程序的安全,但其中许多工具并不是针对当今云原生软件的复杂性而设计的。对碎片化工具和数据的依赖、缺乏系统上下文和手动分析使得主动响应安全事件变得困难。 即使是机器学习解决方案也无法跟上,因为它们只能提供与所获取的数据一样好的答案,这通常会导致误报和重复警报。组织需要一种更加自动化和智能的方法来实现应用程序安全性,以便他们可以实时了解其风险暴露并指导团队解决最重要的问题。 最常用的应用程序安全解决方案包括: 57% 53% 48% 43% 39% 37% 33% 25% 云安全(例如,CNAPP、CWPP、CSPM、CIEM) 63% Web应用程序防火墙 安全测试工具(例如,SAST/IAST/DAST) 实时攻击检测和阻止 运行时应用程序自我保护 端点保护 运行时漏洞管理 漏洞扫描器 SIEM/日志分析 安全任务仍然是手动的并且容易出错。 在安全扫描仪单独标记为“关键”的漏洞警报中,58%被认为在生产中不重要,浪费了宝贵的开发时间来追踪误报。 平均而言,开发和应用安全团队的每个成员花费近三分之一(28%)的时间(或每周11小时)在可以自动化的漏洞管理任务上。 只有50%的CISO完全相信应用程序在投入生产之前已经过完整的漏洞测试。 *根据平均工作周的持续时间计算为40小时 每个组织都会遇到使用日志分析进行安全取证的挑战。 最常见的挑战包括: CISO表示,安全数据跨越多个平台 ,因此很难获得上下文。 CISO表示,捕获和保留有效分析所需的所有日志成本太高, 所以我们缺乏一个完整的画面。 CISO的分析是劳动密集型和耗时。 CISO表示,我们的大部分日志数据无法按需进行分析,因为它已存档。 CHAPTER3 现代开发和交付实践使其很难领先于零日漏洞 76% 的CISO表示,从发现 61% CISO表示,不可能足够快地 77% 的组织有一个 56% 没有网络保险的CISO表示 98% CISO表示,他们对零 零日之间需要的时间 响应零日漏洞以消除 网络保险政策。 ,没有确保良好保费所需的 日漏洞的反应 攻击及其修补每个实例的能力 风险完全。 所有相关安全控制或解决方 自Log4Shell更改。 是一个重大挑战 案阻止了他们 最小化风险。 拿出一个政策。 开源软件库在帮助开发人员加速创新方面是非常宝贵的,它建立在他人的编码工作上,而不是在底层开始每个新项目。但是,开源库的社区主导性质意味着许多不同的开发人员可以查看和更改代码。再加上现代软件交付的速度,使漏洞更容易进入实时应用程序。 发现关键的零日漏洞(例如Log4Shell,这是2021年出现的零日攻击)可能会使开发和安全团队进入危机模式,因为他们正在努力 识别并最小化他们的风险敞口。随着软件生态系统的复杂性增加,这项任务已经超出了人类的能力,导致延迟,可能使组织缺乏网络保险公司和当局的安全治理要求。团队需要能够自动检测、优先处理和响应零日漏洞的解决方案,并在修复问题的同时阻止攻击,同时又不会分散他们对创新的注意力。 组织对零日漏洞的响应方式发生了变化 在Log4Shell之后包括以下内容: 54% 48% 43% 28% 采用解决方案以更有效地识别风险敞口采用更有效地确定漏洞优先级的解决方案供团队处理 采用的解决方案可在发现漏洞后立即自动解决漏洞 采用的解决方案可自动阻止针对已知漏洞的攻击 CHAPTER4 工具扩张和团队孤岛阻碍了DevSecOps实践 随着组织努力加速转型,他们越来越多地采用更具协作性的DevSecOps文化,鼓励开发、安全和运营团队共同努力实现共同目标。然而,不同团队对特定点解决方案的根深蒂固的偏好阻碍了这些努力,导致孤岛和多个版本 通过将团队团结在支持DevSecOps自动化的单一真相来源周围,可观察性和安全分析的融合对于克服这些挑战至关重要。 CISO表示,开发、安全和运营团队继续依赖 他们自己的点解决方案,而不是集成平台。 CISO表示使用点解决方案 对于特定的安全任务会带来挑战。 使用单点安全解决方案所面临的主要挑战包括: 52%44%40% 团队花费大量时间不断调整和管理工具 ,以确保它们有效。 很难保证安全控制持续应用于所有软件资产。 关联来自不同工具的警报是劳动密集型的,并且存在太多的误报。 Dynatrace2023CISO报告|12 团队孤岛和工具碎片继续阻碍DevSecOps的有效性。 CISO表示,团队对点工具的个人偏好降低了DevSecOps的好处。 CISO表示团队孤岛和点解决方案的普遍性 在整个DevSecOps生命周期中,漏洞更容易进入生产环境。 CISO表示,如果他们没有找到使DevSecOps更有效地工作的方法,他们将在他们的环境中看到更多的漏洞利用,这是一个真正的担忧。 CISO表示,DevSecOps会更有效 ,如果所有 团队从一个本质上集成在他们的过程中的平台工作。 Dynatrace2023CISO报告|13 12% 的组织拥有成熟的DevSecOps文化。 78% CISO承认IT、开发和安全团队在孤岛中处理左移和右移安全 ,而不是作为共同的责任。 Dynatrace2023CISO报告|14 CHAPTER5 DevSecOps实践仍然不成熟 除了零散的工具链和孤立的团队带来的挑战之外,组织还在努力实现思维方式的转变,以最大限度地发挥DevSecOps方法的影响。仅仅让开发人员对预生产中的安全性负责是不够的。还必须授权他们确保其应用程序继续 在生产中安全运行-也就是说,促进 开发人员之间的一种文化,即“您构建它,运行它,保护它 ”。 为了实现这一目标,组织需要能够将开发和运行时安全性联 系起来的技术,以消除盲点并改善治理 此外,这些技术应利用可信的AI和广泛的自动化来最大限度地减少漏洞管理的手动工作,并让开发人员专注于其角色的核心任务,从而释放DevSecOps的真正潜力。 采用最多的DevSecOps实践包括: 51% 33% 30% 25% 18% 10% CISO表示,安全性是我们预发布治理和质量门控过程的一部分。 的CISO表示,他们已经跨功能自动切换-例如自动创建票证。 一些CISO表示,他们坚持“ 你建造它,你运行它, 你安全它”的方法(开发团队负责生产、交付和安全)。 CISO表示,他们使用的解决方案为团队提供共享的可见性和单一的真相来源。 的CISO说他们有 一个共享的优先顺序过程,以避免孤立的思维。 CISO表示应用程序安全是一项共同责任 在发展、安全和运营之间。 Dynatrace2023CISO报告|15 86%CISO表示自动化 和AI至关重要 成功的DevSecOps文化和克服 资源挑战。 Dynatrace2023CISO报告|16 CISO确定了使DevSecOps更有效的主要方法: 能够跟踪所有团队的安全治理的有效性和遵守情况-33%。 能够在整个生命周期中访问可观察性和安全洞察-23% 增加团队之间自动切换的使用(例如,自动票证创建)-17% TheDynatracedifference Dyatrace®ApplicatioSecrity针对云原生应用程序、容器和Kberetes进行了优化,可在运行时自动持续检测应用程序中的漏洞。它还提供实时检测和阻止,以防止利用关键漏洞的注入攻击。它消除了盲点,并有助于确保开发团队不会浪费时间追逐误报,并为C套件提供了对其组织应用程序安全性的信心。 DynatraceApplicationSecurity提供了以下功能: 通过运行时漏洞分析识别和修复风险: 在几分钟内了解关键应用程序漏洞何时引入生产环境。通过自动分析运行时上下文和安全智能,自信地实施对策和修复。 专注于戴维斯AI辅助优先级排序的重要内容:为团队提供所需的精确信息,以首先解决最关键的漏洞。DavisAI使 用安全智能和运行时上下文,根据互联网暴露等标准确定风险。 通过运行时应用程序保护降低风险: 检测并阻止对应用层漏洞的常见攻击 ,例如注入攻击。在修复漏洞时,可以抵御关键的零日攻击类型。 在需要时通过日志审核和取证获取答案 :降低调查与安全事件(如关键应用程序漏洞)相关的日志的成本。快速 验证发生了什么,利用可观察性上下文进行分析,并采取主动措施。 Dynatrace2023CISO报告|18 Methodology 本报告基于ColemanParkes于2023年3月委托Dynatrace对拥有1000多名员工的大型企业的1300家CISO进行的全球调查。样本包括美国的200名受访者,英国、法国、德国、西班牙、意大