2023年首席信息安全官报告

可观察性和安全性的融合对于实现DevSecOps潜力至关重要 DynatraceCISO报告2023 里面是什么 Introduction CHAPTER 1 组织越来越多地采用DevSecOps实践来推动更快的创新，而不会增加安全风险。 本报告探讨了这些挑战，并强调了首席信息安全官（CISO）如何通过统一可观察性和安全性来支持更有效的数据驱动的DevSecOps自动化来克服这些挑战。 复杂性的增加使云环境更难以保护 这些实践将开发、安全和运营团队联合起来，使他们能够在开发生命周期的每个阶段交付更安全的软件。 CHAPTER 2 碎片化的工具集和手动应用程序安全流程削弱了信心和生产力 然而，这些努力中的大多数仍然相对不成熟，因为开发、安全和运营团队继续在孤岛中工作，并依赖自己拼凑的点工具管理他们的个人任务。此外，团队将安全责任转移到开发和预生产（也称为“左移”），并孤立地验证在生产运行时部署的应用程序的安全性（或“右移”），而不是集体努力。这些活动可能会造成低效率，从而削弱DevSecOps的有效性。关键漏洞也可以更容易和更频繁地泄漏到生产中，使组织面临不必要的风险。 CHAPTER 3 现代开发和交付实践使其很难领先于零日漏洞 CHAPTER 4 CHAPTER 5DevSecOps实践仍然不成熟 Conclusion TheDynatracedifference APPENDIX 方法论和全球数据汇总 CHAPTER 1 复杂性的增加使云环境更加难以 安全 合作伙伴可以修复产品中的缺陷，这些缺陷会使组织面临更高的安全风险。为了支持这些工作，团队需要更多的自动化和精确的答案，以实时识别和揭示安全漏洞的影响。 随着数字化转型的不断加速，支撑当今数字体验的云应用程序变得更加复杂和分布式。不仅如此，对本土、专有和开放源代码混合的依赖日益增加，使得在整个软件开发生命周期中管理风险变得更加困难。 除了识别开源库和自定义代码中的漏洞外，开发和安全团队还必须优先处理其最关键的任务，并使用其 CISO表示，随着软件供应链和云生态系统的复杂性增 加，漏洞管理变得更加困难。 考虑到与供应商合作的困难，CISO在最小化风险方面面临着重大挑战识别和解决软件供应链中的漏洞。 83%许多安全团队无法实时访问完全准确的软件材料清单(SBOM)。 77%的CISO说这是一个重要的优先考虑漏洞的挑战因为缺乏有关它们对环境构成的风险的信息。 27%CISO表示，不可能创建一个完全准确的SBOM，因为他们的环境不断变化。 88%CISO表示，如果解决方案将应用程序运行时上下文与漏洞分析和风险影响评估相结合，漏洞管理将更容易。 CHAPTER 2 碎片化的工具集和手动应用程序安全流程削弱了信心和生产力 大多数组织都采用了多种解决方案来保护应用程序的安全，但其中许多工具并不是针对当今云原生软件的复杂性而设计的。对碎片化工具和数据的依赖、缺乏系统上下文和手动分析使得主动响应安全事件变得困难。 即使是机器学习解决方案也无法跟上，因为它们只能提供与所获取的数据一样好的答案，这通常会导致误报和重复警报。组织需要一种更加自动化和智能的方法来实现应用程序安全性，以便他们可以实时了解其风险暴露并指导团队解决最重要的问题。 62%的组织使用四个或更多的解决方案 以维护其应用程序的安全性。 在安全扫描仪单独标记为“关键”的漏洞警报中，58％被认为在生产中不重要，浪费了宝贵的开发时间来追踪误报。 平均而言，开发和应用安全团队的每个成员花费近三分之一（28%）的时间（或每周11小时）在可以自动化的漏洞管理任务上。 只有50%的CISO完全相信应用程序在投入生产之前已经过完整的漏洞测试。 *根据平均工作周的持续时间计算为40小时 每个组织都会遇到使用日志分析进行安全取证的挑战。 最常见的挑战包括： CHAPTER 3 现代开发和交付实践使其很难领先于零日漏洞 开源软件库在帮助开发人员加速创新方面是非常宝贵的，它建立在他人的编码工作上，而不是在底层开始每个新项目。但是，开源库的社区主导性质意味着许多不同的开发人员可以查看和更改代码。再加上现代软件交付的速度，使漏洞更容易进入实时应用程序。 识别并最小化他们的风险敞口。随着软件生态系统的复杂性增加，这项任务已经超出了人类的能力，导致延迟，可能使组织缺乏网络保险公司和当局的安全治理要求。团队需要能够自动检测、优先处理和响应零日漏洞的解决方案，并在修复问题的同时阻止攻击，同时又不会分散他们对创新的注意力。 发现关键的零日漏洞（例如Log4Shell，这是2021年出现的零日攻击）可能会使开发和安全团队进入危机模式，因为他们正在努力 CHAPTER 4 工具扩张和团队孤岛阻碍了DevSecOps实践 随着组织努力加速转型，他们越来越多地采用更具协作性的DevSecOps文化，鼓励开发、安全和运营团队共同努力实现共同目标。然而，不同团队对特定点解决方案的根深蒂固的偏好阻碍了这些努力，导致孤岛和多个版本通过将团队团结在支持DevSecOps自动化的单一真相来源周围，可观察性和安全分析的融合对于克服这些挑战至关重要。 CISO表示，开发、安全和运营团队继续依赖 他们自己的点解决方案，而不是集成平台。 CISO表示使用点解决方案对于特定的安全任务会带来挑战。 使用单点安全解决方案所面临的主要挑战包括： 52% 44% 40% 团队花费大量时间不断调整和管理工具，以确保它们有效。 很难保证安全控制持续应用于所有软件资产。 关联来自不同工具的警报是劳动密集型的,并且存在太多的误报。 团队孤岛和工具碎片继续阻碍DevSecOps的有效性。 CISO表示，团队对点工具的个人偏好降低了DevSecOps的好处。 CISO表示，如果他们没有找到使DevSecOps更有效地工作的方法，他们将在他们的环境中看到更多的漏洞利用，这是一个真正的担忧。 CHAPTER 5 DevSecOps实践仍然不成熟 除了零散的工具链和孤立的团队带来的挑战之外，组织还在努力实现思维方式的转变，以最大限度地发挥DevSecOps方法的影响。仅仅让开发人员对预生产中的安全性负责是不够的。还必须授权他们确保其应用程序继续在生产中安全运行-也就是说，促进开发人员之间的一种文化，即“您构建它，运行它，保护它”。 12% 的组织拥有成熟的DevSecOps文化。 为了实现这一目标，组织需要能够将开发和运行时安全性联系起来的技术，以消除盲点并改善治理此外，这些技术应利用可信的AI和广泛的自动化来最大限度地减少漏洞管理的手动工作，并让开发人员专注于其角色的核心任务，从而释放DevSecOps的真正潜力。 78%CISO承认IT、开发和安全团队在孤岛中处理左移和右移安全，而不是作为共同的责任。 的CISO表示，他们已经跨功能自动切换-例如自动创建票证。 CISO确定了使DevSecOps更有效的主要方法： 86%CISO表示自动化和AI至关重要成功的DevSecOps文化和克服资源挑战。 能够跟踪所有团队的安全治理的有效性和遵守情况-33%。 能够在整个生命周期中访问可观察性和安全洞察-23% 增加团队之间自动切换的使用（例如，自动票证创建）-17％ TheDynatracedifference Dyatrace®ApplicatioSecrity针对云原生应用程序、容器和Kberetes进行了优化，可在运行时自动持续检测应用程序中的漏洞。它还提供实时检测和阻止，以防止利用关键漏洞的注入攻击。它消除了盲点，并有助于确保开发团队不会浪费时间追逐误报，并为C套件提供了对其组织应用程序安全性的信心。 DynatraceApplicationSecurity提供了以下功能： 通过运行时应用程序保护降低风险：检测并阻止对应用层漏洞的常见攻击，例如注入攻击。在修复漏洞时，可以抵御关键的零日攻击类型。 ：降低调查与安全事件（如关键应用程序漏洞）相关的日志的成本。快速验证发生了什么，利用可观察性上下文进行分析，并采取主动措施。 在几分钟内了解关键应用程序漏洞何时引入生产环境。通过自动分析运行时上下文和安全智能，自信地实施对策和修复。 Methodology 本报告基于ColemanParkes于2023年3月委托Dynatrace对拥有1000多名员工的大型企业的1300家CISO进行的全球调查。样本包括美国的200名受访者，英国、法国、德国、西班牙、意大利、北欧、中东、澳大利亚和印度的100名受访者，以及新加坡、马来西亚、巴西和墨西哥的50名受访者。 全球数据汇总：美国和拉丁美洲 样本包括来自美国的200名受访者以及来自巴西和墨西哥的50名受访者。 全球数据汇总：美国和拉丁美洲 第2章：碎片化的工具集和手动应用程序安全流程侵蚀了信心和生产力 全球数据汇总：美国和拉丁美洲 全球数据汇总：美国和拉丁美洲 全球数据汇总：美国和拉丁美洲 全球数据汇总：美国和拉丁美洲 全球数据汇总：美国和拉丁美洲 第4章工具扩张和团队孤岛阻碍了DevSecOps实践 全球数据汇总：美国和拉丁美洲 全球数据汇总：美国和拉丁美洲 第5章：DevSecOps实践仍然不成熟 全球数据汇总：美国和拉丁美洲 采用最多的DevSecOps实践包括： 全球数据汇总：美国和拉丁美洲 CISO确定了使DevSecOps更有效的三大方法 全球数据汇总：欧洲 样本包括来自英国，法国，德国，西班牙和意大利的100名受访者，来自瑞典的34名受访者以及来自挪威和芬兰的33名受访者。 全球数据汇总：欧洲 第2章：碎片化的工具集和手动应用程序安全流程侵蚀了信心和生产力 全球数据汇总：欧洲 全球数据汇总：欧洲 第2章：碎片化的工具集和手动应用程序安全流程侵蚀了信心和生产力 全球数据汇总：欧洲 第3章现代开发和交付实践使得零日漏洞很难提前 全球数据汇总：欧洲 在Log4Shell之后，组织对零日漏洞的响应发生了变化的方式包括： 全球数据汇总：欧洲 第4章工具扩张和团队孤岛阻碍了DevSecOps实践 全球数据汇总：欧洲 第4章工具扩张和团队孤岛阻碍了DevSecOps实践 使用单点安全解决方案所面临的主要挑战包括： 全球数据汇总：欧洲 全球数据汇总：欧洲 采用最多的DevSecOps实践包括： 全球数据汇总：欧洲 CISO确定了使DevSecOps更有效的三大方法 全球数据汇总：中东 样本包括来自阿联酋、埃及、卡塔尔和沙特阿拉伯的25名受访者。 全球数据汇总：中东 第2章：碎片化的工具集和手动应用程序安全流程侵蚀了信心和生产力 全球数据汇总：中东 全球数据汇总：中东 全球数据汇总：中东 全球数据汇总：中东 全球数据汇总：中东 第4章工具扩张和团队孤岛阻碍了DevSecOps实践 全球数据汇总：中东 全球数据汇总：中东 第5章：DevSecOps实践仍然不成熟 全球数据汇总：中东 采用最多的DevSecOps实践包括： 全球数据汇总：中东 CISO确定了使DevSecOps更有效的三大方法 全球数据汇总：亚太地区 样本包括来自澳大利亚和印度的100名受访者，以及来自新加坡和马来西亚的50名受访者。 全球数据汇总：亚太地区 全球数据汇总：亚太地区 全球数据汇总：亚太地区 全球数据汇总：亚太地区 全球数据汇总：亚太地区 全球数据汇总：亚太地区 第4章工具扩张和团队孤岛阻碍了DevSecOps实践 全球数据汇总：亚太地区 全球数据汇总：亚太地区 第5章：DevSecOps实践仍然不成熟 全球数据汇总：亚太地区 采用最多的DevSecOps实践包括： 全球数据汇总：亚太地区 CISO确定了使DevSecOps更有效的三大方法 混合多云的自动和智能可观测性 我们希望这