15 Principais Desafios de Segurança de Cloud e Código Revelados por CTOs

Consultamos 15 CTOs de SaaS sobre seus desafios e preocupações com a segurança de Cloud e código. Por quê?

• Todos os CTOs de SaaS enfrentam desafios na segurança de seus produtos. Queríamos identificar essas tendências e descobrir suas necessidades e preocupações.
• A pesquisa com clientes é essencial para o sucesso de qualquer startup, e o Aikido não é diferente! Na verdade, adoramos descobrir o que os clientes têm a dizer.
• Desde o início, temos nos focado em projetar e evoluir nossas ferramentas de segurança com base no que é mais importante para nossos clientes.

Aqui no Aikido, acreditamos no compartilhamento aberto de conhecimento, então agora é a hora de transmitir o que nossas consultas descobriram e revelaram.

Sobre nossa consulta sobre segurança de Cloud e código

Os CTOs que consultamos são de startups de software cloud-native com 51 a 500 funcionários. Focamos nestes tópicos de segurança de Cloud e código:

• a prioridade que a prevenção de ameaças pode receber
• impedimentos para a prevenção de ameaças
• seus níveis de satisfação com as soluções atuais
• quais outras soluções eles usaram e suas falhas
• desafios que enfrentam
• seus requisitos e resultados desejados
• recursos que valorizam, e
• o que desejam alcançar no futuro.

Qual a importância de prevenir ameaças de segurança na Cloud e no código para você?

Vamos começar com o nível de prioridade que os CTOs dão à prevenção de ameaças de segurança. Nossas evidências mostram que os CTOs atribuem um alto nível de prioridade à prevenção de ameaças. A classificação média é de 8,27 (em 10). 93% dos CTOs classificaram a importância da prevenção de ameaças como 7 ou superior. 8 foi a resposta mais popular, e 10 foi a segunda escolha mais alta.

O que impede a prevenção eficaz de ameaças de segurança na Cloud e no código?

Por mais que os CTOs queiram prevenir ameaças de segurança na Cloud e no código, alguns obstáculos criam barreiras para o sucesso. Os três principais foram prioridades conflitantes, orçamento e complexidade.

Prioridades conflitantes

A principal resposta: prioridades conflitantes (40%). O que isso significa em relação aos desafios de segurança? Embora os CTOs vejam a segurança como uma alta prioridade, existem outras preocupações igualmente ou potencialmente ainda mais importantes dentro de uma empresa. Por exemplo, a corrida para lançar novos recursos versus as questões de segurança relacionadas a eles é o ato de equilíbrio da cibersegurança.

‘Como a segurança é frequentemente um bom investimento de longo prazo, mas tem menos impacto no dia a dia, é fácil despriorizar o trabalho.’

Restrições orçamentárias

O segundo obstáculo foram as restrições orçamentárias (33%). O principal desafio reside em comprovar o ROI que as medidas de segurança trazem para o negócio. Ou, como um CTO colocou: 'Justificar o investimento em segurança na nuvem'. Isso também pode estar relacionado à despriorização diária mencionada anteriormente.

Complexidade

A complexidade fica com o bronze (27%). A questão aqui é que existem tantas ameaças potenciais. Priorizá-las torna-se oneroso e desafiador. Isso pode ser avassalador e, consequentemente, é fácil perder de vista as maiores ameaças.

Quão satisfeito você está com suas soluções atuais para prevenir ameaças de segurança de código e segurança na nuvem?

Nota D. A classificação média é de 6,4 e um terço dos CTOs classificou sua satisfação com as soluções atuais em 5 ou menos. Apenas 20% estavam altamente satisfeitos com 8 ou 9, enquanto 0% relataram um 10 perfeito. O ponto chave aqui é comparar isso com o nível de prioridade muito mais alto que eles dão à prevenção de ameaças. Encontramos uma lacuna notável e preocupante entre importância e satisfação.

Quais outras soluções de segurança você usa e quais são suas falhas?

As soluções de segurança atuais incluem uma ampla gama do que está disponível no mercado. CTOs mencionaram 11 produtos; SonarQube foi o mais amplamente utilizado (33%). Além disso, não mais de 13% dos CTOs estavam usando os mesmos produtos no momento da nossa pesquisa.

Preços e modelos de precificação

40% dos CTOs indicaram que a maior falha diz respeito a preços altos e modelos de precificação. Um CTO relata um preço astronomicamente alto, ‘pagando por software hoje na ordem de seis dígitos.’ Outro questiona a viabilidade de longo prazo da precificação por linha: ‘Modelos de precificação que seguem o número de linhas de código são motivo de preocupação para o futuro.’

Falsos positivos

33% apontaram falsos positivos – alertas que identificam erroneamente uma vulnerabilidade ou atividade maliciosa. Todos podemos nos identificar com as frustrações aqui: fadiga de alertas e recursos desperdiçados que resultam de falsos positivos.

Outras falhas das soluções atuais

Outras falhas incluem desafios na avaliação de riscos, configuração e manutenção complexas, falta de adequação à stack de tecnologia e proteção limitada.

Um CTO aponta as frustrações em torno da necessidade de empregar múltiplas soluções de segurança:

‘Não conheço nenhuma solução que cubra múltiplos cenários, o que significa que minha expectativa como CTO seria que o SaaS que usamos atualmente para varreduras de segurança automatizadas de nossa base de código certamente não seria o mesmo que uma solução que garanta a conformidade com um de nossos provedores de Cloud.’

O que aprendemos com o que os CTOs pensam sobre as falhas atuais em softwares de segurança?

Aqui está a principal conclusão. Os CTOs estão procurando uma solução completa para software de segurança de Cloud e código, apresentando:

• preços razoáveis
• ausência de falsos positivos
• uma configuração simples, e
• manutenção descomplicada.

Quais são os maiores desafios na proteção de código e Cloud?

Os principais desafios atuais para CTOs de SaaS são a oposição interna na empresa, o excesso de informações para lidar, as ameaças em evolução e a complexidade de ter cobertura total.

Oposição interna

40% afirmaram que o principal desafio é interno: a falta de conscientização ou outras prioridades significam recursos limitados. Isso verifica seus dois principais bloqueadores de prevenção de ameaças mencionados anteriormente (prioridades e orçamento).

‘O maior desafio é mudar a mentalidade organizacional e fazê-los entender que a segurança é uma funcionalidade e que devemos investir continuamente nela.’

A gestão de mudanças é notoriamente difícil. E aumentar a conscientização para fazer mudanças significativas na atitude e estratégia pode ser um desafio ainda maior.

Excesso de ruído

A sobrecarga de informações é uma realidade. 27% dos CTOs relatam que a triagem entre o ruído é o próximo maior desafio. Não é fácil entender quais ameaças priorizar ou explorar, nem como lidar com elas. Novamente, se houver falsos positivos na mistura, pode haver alguns becos sem saída, ineficiências e trabalho mal direcionado.

‘Parece haver dados ilimitados nos logs, mas nenhuma maneira de gerenciar o que todos eles significam e por quem e como devem ser abordados.’

Evolução das ameaças, cobertura e complexidade

A evolução das ameaças, cobertura e complexidade foram classificadas como desafios de nível inferior. No entanto, eles ainda confirmam alguns dos bloqueadores e falhas identificados anteriormente na pesquisa.

As ameaças de segurança não são estáticas – elas evoluem e tendem a ficar um passo à frente das soluções de segurança. Isso significa que suas vulnerabilidades também estão evoluindo, e às vezes pode parecer um jogo de ‘whack-a-mole’.

‘Os atacantes estão se tornando mais sofisticados em seus métodos, e novas vulnerabilidades são descobertas regularmente.’

Os CTOs apontaram ainda desafios, confirmando algumas das falhas identificadas em suas soluções atuais. Eles relatam receber cobertura incompleta, o que cria uma falsa sensação de segurança. E no negócio de segurança, isso simplesmente não é bom o suficiente!

‘Embora tentem proporcionar uma sensação de segurança, estou preocupado que eles não estejam realmente nos protegendo contra a maioria das ameaças.’

A cobertura incompleta está ligada à necessidade, ou percepção da necessidade, de um emaranhado de várias soluções:

‘Há muitas partes móveis. Desde os sistemas e softwares de desenvolvimento inicial, processo de CICD, até a infraestrutura de aplicação e repositórios de dados, … eles não se encaixam em uma abordagem de solução de postura de segurança holística.’

Quais são os resultados de negócio desejados pelos CTOs? O que mais importa para os CTOs em relação à segurança de Cloud e código?

Fizemos estas duas perguntas para descobrir quais eram seus objetivos estratégicos e o que mais importa para alcançá-los.

Resultados desejados

Os CTOs classificaram os três principais resultados estratégicos da seguinte forma:

1. Proteger a reputação da marca e a confiança do cliente (47%)
2. Dados sensíveis protegidos, sem violações de dados (33%)
3. Estar em conformidade (20%)

O que mais importa?

E, para implementar esses resultados desejados, o que mais importou para os CTOs foi o seguinte (foi permitido escolher mais de uma opção para esta pergunta):

1. Baixa manutenção (53%)
2. Confiabilidade / Sem falsos positivos (40%)
3. Relatórios claros e eficazes (33%)

Você percebe o que nós percebemos? Estas são conclusões semelhantes ao que aprendemos com a pergunta sobre as falhas das soluções de segurança atuais.

Mas e quanto ao preço?

No entanto, relatórios claros e eficazes substituem o preço razoável na lista acima em comparação com os aprendizados sobre as falhas. Assim, contradizendo os comentários e escolhas sobre preço e orçamento feitos anteriormente na pesquisa, apenas 7% priorizaram o preço nesta pergunta. O que isso poderia significar?

Vamos desvendar a perplexidade do preço. Interpretamos isso como o preço sendo um desafio e um obstáculo quando o software de segurança não atende às expectativas. Mas, se a solução de segurança é precisa, fácil de manter, desmistifica a complexidade com relatórios diretos e, por sua vez, ajuda a alcançar os objetivos maiores de proteger a reputação da marca, criar confiança do cliente e manter os dados seguros enquanto atende aos padrões de conformidade, o preço se torna menos um obstáculo e mais fácil de justificar.

As funcionalidades mais importantes ao escolher um software de segurança de Cloud e código

Também perguntamos aos CTOs de SaaS quais funcionalidades técnicas são mais importantes para eles. Eles classificaram cinco afirmações da seguinte forma (pontuações de 4):

1. Detecção de configurações incorretas na nuvem - 3.67 (33% classificaram este como o primeiro)
2. Open Source Vulnerability Scanning - 3.53 (33% classificaram este em primeiro lugar)
3. Detecção de Secrets (chaves de API, senhas, certificados, etc.) - 3.53 (mais de 53% classificaram este como o segundo)
4. Análise Estática de Código via plataformas CI/CD - 2.93
5. Varredura de Licenças de Código Aberto - 1.33 (80% classificaram este como o último)

Quais dessas funcionalidades de segurança são as mais importantes para você? Existem outras que você gostaria de ver em sua solução de segurança?

Quer um produto que resolva seus desafios de segurança de Cloud e código?

Acima de tudo, quando questionados sobre o que gostariam de realizar no futuro, os CTOs classificaram a seguinte afirmação como a mais alta:

‘Quero me sentir completamente seguro contra ameaças de segurança de Cloud e código.’

Isso é música para os nossos ouvidos. Willem, nosso CTO, enfrentou exatamente isso em suas empresas anteriores. Esse ponto problemático o colocou em uma missão para criar a solução certa. Então é precisamente isso que estamos construindo com o Aikido.

Nossa solução reúne as melhores ferramentas de segurança de software open-source. Isso permite que você cubra todas as áreas relevantes. O Aikido também mostra quais problemas e vulnerabilidades realmente importam e quais você deve de fato resolver. Sem falsos positivos aqui!

Veja por si mesmo como o Aikido pode aliviar os desafios de segurança de Cloud e código de um CTO. Faça um teste gratuito do Aikido ou entre em contato conosco.