15 principais desafios de segurança de código e nuvem revelados pelos CTOs

Consultámos 15 CTOs de SaaS sobre os seus desafios e preocupações em matéria de segurança da nuvem e do código. Porquê?

• Todos os CTO de SaaS enfrentam desafios na proteção dos seus produtos. Queríamos encontrar essas tendências e descobrir as suas necessidades e preocupações.
• A pesquisa de clientes é essencial para o sucesso de qualquer empresa, e a Aikido não é diferente! De facto, adoramos saber o que os clientes têm a dizer.
• Desde o início que nos concentramos em conceber e desenvolver as nossas ferramentas de segurança com base no que é mais importante para os nossos clientes.

Aqui no Aikido, acreditamos na partilha aberta de conhecimentos, por isso agora é altura de transmitir o que as nossas consultas descobriram e revelaram.

Sobre a nossa consulta de segurança na nuvem e no código

Os CTOs que consultámos são de startups de software nativo da nuvem com entre 51-500 empregados. Concentrámo-nos nestes tópicos de segurança na nuvem e no código:

• a prioridade que a prevenção de ameaças pode receber
• bloqueadores para evitar ameaças
• os seus níveis de satisfação com as soluções actuais
• que outras soluções utilizaram e quais as suas falhas
• desafios que enfrentam
• os seus requisitos e resultados desejados
• caraterísticas que valorizam, e
• o que pretendem realizar no futuro.

Que importância tem para si a prevenção de ameaças à segurança da nuvem e do código?

Comecemos pelo nível de prioridade que os CTOs dão à prevenção de ameaças à segurança. As nossas provas mostram que os CTOs dão um elevado nível de prioridade à prevenção de ameaças. A classificação média é de 8,27 (em 10). 93% dos CTOs classificaram a importância da prevenção de ameaças como 7 ou superior. 8 foi a resposta mais popular, e 10 foi a segunda escolha mais alta.

O que é que impede a prevenção eficaz das ameaças à segurança da nuvem e do código?

Por mais que os CTOs queiram evitar ameaças à segurança da nuvem e do código, alguns bloqueadores criam obstáculos ao sucesso. Os três principais factores de bloqueio foram as prioridades concorrentes, o orçamento e a complexidade.

Prioridades concorrentes

A principal resposta: prioridades concorrentes (40%). O que é que isto significa em relação aos desafios de segurança? Embora os CTOs considerem a segurança como uma prioridade elevada, existem outras preocupações igualmente ou potencialmente ainda mais importantes numa empresa. Por exemplo, a corrida para lançar novas funcionalidades versus as questões de segurança que as rodeiam é o ato de equilíbrio da cibersegurança.

Uma vez que a segurança é muitas vezes um bom investimento a longo prazo, mas tem menos impacto no dia a dia, é fácil desprivilegiar o trabalho".

Restrições orçamentais

O segundo fator de bloqueio foram as restrições orçamentais (33%). O principal desafio reside em provar o ROI que as medidas de segurança trazem para a empresa. Ou, como diz um CTO, "criar o argumento comercial para investir na segurança da nuvem". Isto também pode estar relacionado com a despriorização quotidiana mencionada acima.

Complexidade

A complexidade fica com o bronze (27%). A questão aqui é que existem muitas ameaças potenciais. A definição de prioridades torna-se pesada e difícil. Isto pode ser avassalador e, consequentemente, é fácil perder de vista as maiores ameaças.

Qual é o seu grau de satisfação com as suas soluções actuais para evitar ameaças à segurança do código e da nuvem?

Grau D. A classificação média é de 6,4 e um terço dos CTOs classificou a sua satisfação com as soluções actuais em 5 ou menos. Apenas 20% estavam altamente satisfeitos com um 8 ou 9, enquanto 0% relataram um 10 perfeito. A chave aqui é comparar isso com o nível muito mais alto de prioridade que eles dão à prevenção de ameaças. Encontramos uma diferença notável e preocupante entre a importância e a satisfação.

Que outras soluções de segurança utiliza e quais são as suas falhas?

As soluções de segurança actuais incluem uma vasta gama do que está disponível no mercado. Os CTOs mencionaram 11 produtos; o SonarQube foi o mais utilizado (33%). Além disso, não mais de 13% dos CTOs utilizavam os mesmos produtos no momento do nosso inquérito.

Preços e modelos de preços

40% dos CTO indicaram que a maior falha diz respeito aos preços elevados e aos modelos de preços. Um CTO refere um preço astronomicamente elevado, "pagando atualmente por software na ordem dos seis dígitos". Outro questiona a viabilidade a longo prazo da fixação de preços por linha: "Os modelos de fixação de preços que seguem o número de linhas de código são motivo de preocupação para o futuro".

Falsos positivos

33% assinalaram falsos positivos - alertas que identificam erradamente uma vulnerabilidade ou atividade maliciosa. Todos nos podemos identificar com as frustrações: o cansaço dos alertas e o desperdício de recursos que resultam dos falsos positivos.

Outras falhas das soluções actuais

Outras falhas incluem desafios na avaliação do risco, configuração e manutenção complexas, falta de adequação da pilha tecnológica e proteção limitada.

Um CTO aponta as frustrações relacionadas com a necessidade de empregar várias soluções de segurança:

Não conheço nenhuma solução que abranja vários cenários, o que significa que a minha expetativa como CTO seria que o SaaS que utilizamos atualmente para verificações de segurança automatizadas da nossa base de código não será certamente o mesmo que uma solução que garanta a conformidade com um dos nossos fornecedores de serviços em nuvem.

O que podemos aprender com o que os CTOs pensam sobre as actuais falhas no software de segurança?

Eis a principal conclusão. Os CTOs estão à procura de um balcão único para software de segurança de código e nuvem, com:

• preços razoáveis
• ausência de falsos positivos
• uma configuração simples, e
• manutenção sem complicações.

Quais são os maiores desafios na proteção do código e da nuvem?

Os principais desafios actuais para os CTO de SaaS são a oposição dentro da empresa, o excesso de informação, a evolução das ameaças e a complexidade de ter uma cobertura total.

Oposição interna

40% afirmaram que o principal desafio é interno: a falta de sensibilização ou outras prioridades implicam recursos limitados. Isto confirma os dois principais factores de bloqueio da prevenção de ameaças mencionados anteriormente (prioridades e orçamento).

O maior desafio é mudar a mentalidade das organizações e fazê-las compreender que a segurança é uma caraterística e que temos de investir continuamente nela.

A gestão da mudança é notoriamente difícil. E aumentar a consciencialização para fazer mudanças significativas na atitude e na estratégia pode ser um desafio ainda mais difícil.

Demasiado ruído

A sobrecarga de informação é um facto real. 27% dos CTOs afirmam que a triagem entre o ruído é o próximo maior desafio. Não é fácil entender quais ameaças devem ser priorizadas ou exploradas, nem como lidar com elas. Mais uma vez, se houver falsos positivos na mistura, pode haver alguns becos sem saída, ineficiências e trabalho mal orientado.

Parece haver um número ilimitado de dados nos registos, mas não há forma de gerir o que significam, por quem e como devem ser tratados.

Evolução, cobertura e complexidade das ameaças

A evolução, a cobertura e a complexidade das ameaças foram classificadas como desafios de nível inferior. No entanto, continuam a confirmar alguns dos bloqueadores e falhas identificados anteriormente no inquérito.

As ameaças à segurança não estão estagnadas - elas evoluem e tendem a manter-se um passo à frente das soluções de segurança. Isto significa que as suas vulnerabilidades também estão a evoluir e, por vezes, pode parecer um jogo de "whack-a-mole".

Os atacantes estão a tornar-se mais sofisticados nos seus métodos e são descobertas regularmente novas vulnerabilidades.

Os CTO apontaram ainda desafios que confirmam algumas das falhas identificadas nas suas soluções actuais. Eles relatam ter recebido uma cobertura incompleta, o que cria uma falsa sensação de segurança. E no sector da segurança, isso não é suficiente!

Embora tentem dar uma sensação de segurança, preocupa-me que não estejam realmente a proteger-nos contra a maioria das ameaças".

A cobertura incompleta está ligada à necessidade, ou à perceção da necessidade, de uma manta de retalhos de várias soluções:

Há demasiadas partes móveis. Desde os sistemas e software de desenvolvimento inicial, passando pelo processo CICD, até às infra-estruturas de aplicações e repositórios de dados, ... não se enquadram numa abordagem holística de solução de segurança".

Quais são os resultados comerciais desejados pelos CTOs? O que é mais importante para os CTO no que respeita à segurança da nuvem e do código?

Fizemos estas duas perguntas para saber quais eram os seus objectivos estratégicos e o que era mais importante para os alcançar.

Resultados desejados

Os CTOs classificaram os três principais resultados estratégicos da seguinte forma:

1. Proteção da reputação da marca e da confiança dos clientes (47%)
2. Os dados sensíveis estão protegidos, o que significa que não há violações de dados (33%)
3. Estar coberto pela conformidade (20%)

O que é mais importante?

E, para implementar esses resultados desejados, o que mais importava para os CTOs eram os seguintes (era possível escolher mais de um para esta pergunta):

1. Manutenção reduzida (53%)
2. Fiabilidade / Sem falsos positivos (40%)
3. Relatórios claros e eficazes (33%)

Reparou no que nós reparámos? Estas são conclusões semelhantes às que aprendemos com a pergunta sobre as actuais falhas das soluções de segurança.

Mas e quanto aos preços?

No entanto, a apresentação de relatórios claros e eficazes substitui os preços razoáveis na lista acima, em comparação com as aprendizagens sobre falhas. Assim, contradizendo os comentários e as escolhas sobre preço e orçamento anteriormente no inquérito, apenas 7% deram prioridade ao preço nesta pergunta. O que é que isso pode significar?

Vamos desvendar a perplexidade dos preços. Interpretamos isto no sentido de que o preço é um desafio e um obstáculo quando o software de segurança não corresponde às expectativas. Mas, se a solução de segurança for precisa, fácil de manter, desmistificar a complexidade com relatórios simples e, por sua vez, ajudar a atingir os objectivos mais elevados de proteger a reputação da marca, criar confiança nos clientes e manter os dados seguros, cumprindo simultaneamente as normas de conformidade, o preço torna-se menos um obstáculo e mais fácil de justificar.

As caraterísticas mais importantes na escolha de software de segurança de código e de nuvem

Também perguntámos aos CTO de SaaS que caraterísticas técnicas são mais importantes para eles. Eles classificaram cinco afirmações da seguinte forma (pontuação de 4):

1. Deteção de configuração incorrecta da nuvem - 3,67 (33% classificaram-no em primeiro lugar)
2. Análise de vulnerabilidades de fonte aberta - 3,53 (33% classificaram-no em primeiro lugar)
3. Deteção de segredos (chaves API, palavras-passe, certificados, etc.) - 3,53 (mais de 53% classificaram-no em segundo lugar)
4. Análise de código estático através de plataformas CI/CD - 2.93
5. Verificação de licenças de código aberto - 1,33 (80% classificaram-no em último lugar)

Quais destas caraterísticas de segurança são as mais importantes para si? Existem outras que gostaria de ver na sua solução de segurança?

Pretende um produto que resolva os seus desafios de segurança na nuvem e no código?

Acima de tudo, quando questionados sobre o que gostariam de realizar no futuro, os CTOs classificaram a seguinte afirmação como a mais elevada:

Quero sentir-me completamente seguro contra ameaças à segurança da nuvem e do código".

Isto é música para os nossos ouvidos. O Willem, o nosso CTO, debateu-se exatamente com isso nas suas empresas anteriores. Esse problema colocou-o numa missão para criar a solução certa. É precisamente isso que estamos a construir com o Aikido.

A nossa solução reúne as melhores ferramentas de segurança de software de código aberto. Isto permite-lhe cobrir todas as áreas relevantes. O Aikido também lhe mostra quais os problemas e vulnerabilidades realmente importantes e quais os que deve realmente resolver. Aqui não há falsos positivos!

Veja por si mesmo como o Aikido pode aliviar os desafios de segurança de código e nuvem de um CTO. Faça um test drive gratuito do Aikido ou entre em contacto connosco.