Report Stato della
sicurezza cloud-native
2024
L'AI generativa è una forza innovativa che pone le organizzazioni davanti a innovazione e rischio, richiedendo loro di affrontare sfide e opportunità inimmaginabili.
Il report Stato della sicurezza cloud-native 2024, "il quarto report annuale", mira ad aiutare le organizzazioni a sfruttare al meglio questa trasformazione della sicurezza cloud rivelando le tendenze e gli insight raccolti dalle conversazioni con oltre 2.800 professionisti della sicurezza cloud e DevOps in 10 paesi e 5 settori industriali. Continua a leggere per saperne di più su come i tuoi colleghi stanno affrontando tutti i cambiamenti in atto.
Report Stato della sicurezza cloud-native 2024
La ricerca di mercato più ampia ed estesa a livello globale sulla sicurezza cloud-native.
AI: Vettore d'attacco o acceleratore?
Mentre l'AI continua a svilupparsi, solo una cosa è certa: sarà usata come arma. Ecco perché il 38% delle organizzazioni considera gli attacchi basati su AI come la principale preoccupazione nel 2024 e il 43% prevede che le minacce basate su AI diventeranno un vettore di minacce comune.
Rischi per la sicurezza con il codice generato da AI
Gli attacchi basati su AI sono solo metà del problema. Il 44% delle organizzazioni è ugualmente preoccupato per i rischi correlati al codice generato dall'AI, ed è giusto che sia così. I software creati autonomamente e il ritmo rapido di sviluppo del codice generato da AI aumentano la probabilità di falle di sicurezza non rilevate e mettono a dura prova i tradizionali metodi di test di sicurezza.Abbracciare l'ignoto
Nonostante mostrino una buona dose di paura e cautela di fronte all'AI, le organizzazioni sono ottimiste. Tutti i partecipanti al sondaggio prevedono di adottare la codifica assistita dall'AI e adatteranno il proprio approccio alla sicurezza per tenerne conto.Giusto equilibrio tra strumenti, fornitori ed esigenze
Non è un segreto che gli ambienti cloud diventino complessi molto rapidamente. I partecipanti al sondaggio utilizzano in media 12 fornitori di servizi cloud e 16 strumenti di sicurezza cloud, non c'è da stupirsi. Il 98% di loro ha espresso la necessità di semplificazione e consolidamento e ha sottolineato l'importanza di ridurre il numero di strumenti di sicurezza in uso.
Sebbene la complessità sia stata un tema ricorrente nel report "Stato della sicurezza cloud-native", ci sono stati pochi progressi nell'eliminarla. Il numero di strumenti dedicati alla sicurezza nel cloud è aumentato del 60% rispetto allo scorso anno.
Sebbene la complessità sia stata un tema ricorrente nel report "Stato della sicurezza cloud-native", ci sono stati pochi progressi nell'eliminarla. Il numero di strumenti dedicati alla sicurezza nel cloud è aumentato del 60% rispetto allo scorso anno.
Protezione dei dati in ecosistemi frammentati
La sicurezza dei dati rappresenta una grande sfida per molte organizzazioni, con il 50% che esegue revisioni manuali per identificare e classificare i dati sensibili all'interno del cloud. Questo è un problema, non solo perché le revisioni manuali richiedono molto tempo, sono soggette a errori e spesso incomplete, ma perché le revisioni manuali comportano lacune nella protezione dei dati, lasciando le organizzazioni vulnerabili alle violazioni.
A peggiorare le cose, il 98% delle organizzazioni archivia dati sensibili in più ambienti. Più della metà dei partecipanti al sondaggio attribuisce a questa complessità la responsabilità delle sfide legate al monitoraggio e al controllo delle informazioni sensibili e il 48% afferma che la protezione dei dati non è adeguatamente garantita.
Anno dopo anno si è osservato un aumento generale di incidenti legati alla sicurezza. Quasi il 50% delle organizzazioni ha segnalato un aumento dei tempi di inattività a causa di errori di configurazione, violazioni di conformità e API non sicure (il 43% delle organizzazioni considera i rischi API come la principale preoccupazione per la sicurezza), mentre il 64% delle organizzazioni ha riscontrato un aumento delle violazioni dei dati.
A peggiorare le cose, il 98% delle organizzazioni archivia dati sensibili in più ambienti. Più della metà dei partecipanti al sondaggio attribuisce a questa complessità la responsabilità delle sfide legate al monitoraggio e al controllo delle informazioni sensibili e il 48% afferma che la protezione dei dati non è adeguatamente garantita.
Aumento di incidenti legati alla sicurezza
Poiché i dati sono spesso diffusi in ambienti cloud, la superficie di attacco della maggior parte delle organizzazioni è vasta. Quando questo fattore si aggiunge alla mancanza di visibilità completa, che aumenta le opportunità di minacce interne, non sorprende che il 45% dei partecipanti al sondaggio riscontri un aumento di minacce persistenti avanzate (APT, Advanced Persistent Threat).Anno dopo anno si è osservato un aumento generale di incidenti legati alla sicurezza. Quasi il 50% delle organizzazioni ha segnalato un aumento dei tempi di inattività a causa di errori di configurazione, violazioni di conformità e API non sicure (il 43% delle organizzazioni considera i rischi API come la principale preoccupazione per la sicurezza), mentre il 64% delle organizzazioni ha riscontrato un aumento delle violazioni dei dati.
La collaborazione inizia dall'alto
È probabile che il conflitto tra la sicurezza del cloud e lo sviluppo delle applicazioni esista sempre e i risultati del report di quest'anno lo confermano. I partecipanti hanno parlato apertamente delle sfide che devono affrontare, con l'84% che attribuisce ai processi di sicurezza i ritardi rispetto alle tempistiche dei progetti, l'83% che vede la sicurezza come un peso e il 79% che afferma che i propri dipendenti spesso ignorano o aggirano i processi di sicurezza.
E che dire del 71% delle organizzazioni che segnala vulnerabilità derivanti da distribuzioni affrettate? La maggior parte (92%) attribuisce la colpa allo sviluppo e alla distribuzione inefficienti e il 71% allo stress, con il 93% dei partecipanti che cita elevati tassi di turnover.
Arretrati e il gioco delle responsabilità
Poiché gli sviluppatori sono costretti a fornire nuove funzionalità, aggiornamenti e correzioni di bug il più rapidamente possibile per raggiungere gli obiettivi aziendali, i ticket di sicurezza si accumulano, le date di go-to-market non vengono rispettate e persiste una cultura del capro espiatorio. Com'era prevedibile, i feedback su questo tema sono stati divisi: l'86% considera la sicurezza l'ostacolo ai rilasci di software, mentre il 91% afferma che gli sviluppatori devono produrre codice più sicuro.E che dire del 71% delle organizzazioni che segnala vulnerabilità derivanti da distribuzioni affrettate? La maggior parte (92%) attribuisce la colpa allo sviluppo e alla distribuzione inefficienti e il 71% allo stress, con il 93% dei partecipanti che cita elevati tassi di turnover.
Rischi, realtà e strategie di sicurezza nel cloud
I problemi relativi agli strumenti rappresentano una grande sfida quando si tratta di risolvere bug e vulnerabilità di sicurezza. Hanno un impatto sul processo di sviluppo per il 40% dei partecipanti al sondaggio, con il 33% dei professionisti della sicurezza che considera gli strumenti di sicurezza legacy la causa della propria incapacità di stare al passo con i vettori delle minacce e il numero elevato di allarmi come causa dei ritardi nella risoluzione.
È a causa di queste sfide che i temi generali di dell'efficienza e dell'efficacia sono stati al centro dell'attenzione. Oltre il 90% dei partecipanti afferma che il numero di strumenti specifici utilizzati crea punti ciechi che rendono difficile dare priorità ai rischi e prevenire le minacce. Un ulteriore 88% fatica a identificare gli strumenti di sicurezza di cui ha bisogno. Per fortuna, i team sapevano bene quali fossero le funzionalità di cui avevano bisogno. Quasi il 95% desidera una soluzione che offra misure correttive immediate e quasi altrettanti concordano che trarrebbero vantaggio da una soluzione in grado di individuare automaticamente vulnerabilità interconnesse e configurazioni errate con il massimo potenziale di un attacco di successo.
È a causa di queste sfide che i temi generali di dell'efficienza e dell'efficacia sono stati al centro dell'attenzione. Oltre il 90% dei partecipanti afferma che il numero di strumenti specifici utilizzati crea punti ciechi che rendono difficile dare priorità ai rischi e prevenire le minacce. Un ulteriore 88% fatica a identificare gli strumenti di sicurezza di cui ha bisogno. Per fortuna, i team sapevano bene quali fossero le funzionalità di cui avevano bisogno. Quasi il 95% desidera una soluzione che offra misure correttive immediate e quasi altrettanti concordano che trarrebbero vantaggio da una soluzione in grado di individuare automaticamente vulnerabilità interconnesse e configurazioni errate con il massimo potenziale di un attacco di successo.