O Estado da
segurança nativa da nuvem
Relatório de 2024
A IA generativa é uma força inovadora que coloca as organizações na intersecção entre inovação e risco, exigindo que enfrentem desafios e oportunidades inimagináveis.
O Relatório sobre o estado da segurança nativa da nuvem de 2024, “o quarto relatório anual”, tem o objetivo de ajudar as organizações a aproveitar ao máximo essa transformação da segurança na nuvem, revelando as tendências e os insights obtidos em discussões com mais de 2.800 profissionais de segurança na nuvem e DevOps em 10 países e cinco setores da indústria. Leia para saber como seus colegas estão lidando com todas as mudanças que estão ocorrendo.
Relatório sobre o estado de segurança nativa da nuvem de 2024
A maior, e a mais abrangente em âmbito global, pesquisa de mercado sobre segurança nativa da nuvem.
IA: vetor de ataque ou acelerador?
Com o desenvolvimento contínuo da IA, uma coisa é certa: ela será transformada em arma. Por isso, 38% das organizações classificam os ataques equipados por IA a sua principal preocupação em 2024, e 43% preveem que as ameaças alimentadas por IA se tornarão um vetor de ameaça comum.
Riscos de segurança com código gerado por IA
Os ataques alimentados por IA são apenas metade do problema. 44% das organizações estão igualmente preocupadas com os riscos relacionados ao código gerado pela IA, e com razão. Softwares criados de forma autônoma e o ritmo acelerado de desenvolvimento de código gerado por IA aumentam a probabilidade de falhas de segurança não detectadas e sobrecarregam os métodos tradicionais de teste de segurança.Abraçando o desconhecido
Apesar de expressarem uma dose saudável de receio e cautela quando confrontadas com a IA, as organizações estão otimistas. Todos os entrevistados planejam adotar a programação assistida por IA e adaptar a abordagem de segurança para levar isso em consideração.Equilibrando ferramentas, fornecedores e necessidades
Não é nenhum segredo que a complexidade dos ambientes de nuvem aumenta rapidamente. Os entrevistados usam em média 12 provedores de serviços em nuvem e 16 ferramentas de segurança em nuvem. Nenhuma surpresa. 98% deles expressaram a necessidade de simplificação e consolidação e enfatizaram a importância de reduzir o número de ferramentas de segurança usadas.
Embora a complexidade tenha sido um tema recorrente no “Relatório sobre o estado da segurança nativa da nuvem”, houve pouco progresso para eliminá-la. O número de ferramentas dedicadas à segurança na nuvem aumentou 60% em relação ao ano passado.
Embora a complexidade tenha sido um tema recorrente no “Relatório sobre o estado da segurança nativa da nuvem”, houve pouco progresso para eliminá-la. O número de ferramentas dedicadas à segurança na nuvem aumentou 60% em relação ao ano passado.
Proteção de dados em ecossistemas fragmentados
A segurança dos dados é um grande desafio para muitas organizações, e 50% delas realiza análises manuais para identificar e classificar dados confidenciais na nuvem. Isso é um problema porque os exames manuais são demorados, propensos a erros e muitas vezes incompletos. Além disso, eles criam lacunas na proteção de dados, deixando as organizações vulneráveis a violações.
Para piorar a situação, 98% das organizações armazenam dados confidenciais em vários ambientes. Mais de metade dos entrevistados culpam essa complexidade pelos desafios de monitorar e controlar informações sensíveis e 48% afirmam que a proteção de dados é realizada de forma inadequada.
Notamos que os incidentes de segurança aumentam ano a ano, em todos os níveis. Quase 50% das organizações relataram um aumento no tempo de inatividade devido a configurações incorretas, violações de conformidade e APIs inseguras (43% das organizações classificam os riscos de API como sua principal preocupação de segurança), enquanto 64% das organizações observaram um aumento nas violações de dados.
Para piorar a situação, 98% das organizações armazenam dados confidenciais em vários ambientes. Mais de metade dos entrevistados culpam essa complexidade pelos desafios de monitorar e controlar informações sensíveis e 48% afirmam que a proteção de dados é realizada de forma inadequada.
O aumento dos incidentes de segurança
Como os dados costumam estar espalhados por ambientes de nuvem, a superfície de ataque da maioria das organizações é vasta. Quando combinada com falta de visibilidade abrangente, que aumenta as oportunidades para ameaças internas, não é surpresa que 45% dos entrevistados observem um aumento nas ameaças persistentes avançadas (APTs).Notamos que os incidentes de segurança aumentam ano a ano, em todos os níveis. Quase 50% das organizações relataram um aumento no tempo de inatividade devido a configurações incorretas, violações de conformidade e APIs inseguras (43% das organizações classificam os riscos de API como sua principal preocupação de segurança), enquanto 64% das organizações observaram um aumento nas violações de dados.
A abordagem à colaboração começa no topo
É provável que o conflito entre a segurança na nuvem e o desenvolvimento de aplicativos seja permanente e os resultados do relatório deste ano apoiam isso. Os participantes falaram abertamente sobre os desafios enfrentados. 84% atribuem atrasos nos cronogramas dos projetos aos processos de segurança, 83% veem a segurança como um fardo e 79% alegam que os funcionários frequentemente ignoram ou contornam os processos de segurança.
E quanto aos 71% das organizações que relatam vulnerabilidades resultantes de implantações apressadas? A maioria (92%) culpa o desenvolvimento e a implantação ineficientes e 71% culpam o estresse, com 93% dos entrevistados citando altas taxas de rotatividade.
As pendências e o jogo da culpa
Como os desenvolvedores têm a obrigação de fornecer novos recursos, atualizações e correções de bugs o mais rápido possível para cumprir as metas comerciais, tíquetes de segurança se acumulam, datas de lançamento no mercado são adiadas e uma cultura de bodes expiatórios persiste. O feedback sobre esta questão foi previsivelmente dividido: 86% culpam a segurança por dificultar o lançamento de software, enquanto 91% dizem que os desenvolvedores precisam produzir códigos mais seguros.E quanto aos 71% das organizações que relatam vulnerabilidades resultantes de implantações apressadas? A maioria (92%) culpa o desenvolvimento e a implantação ineficientes e 71% culpam o estresse, com 93% dos entrevistados citando altas taxas de rotatividade.
Riscos, realidades e estratégias de segurança na nuvem
Problemas de ferramentas representam um grande desafio quando se trata de resolver bugs e vulnerabilidades de segurança. Isso impacta o processo de desenvolvimento para 40% dos entrevistados. 33% dos profissionais de segurança atribuem a incapacidade de se manterem atualizados sobre os vetores de ameaças a ferramentas de segurança antigas e citam os alertas confusos como a causa dos atrasos na resolução.
Por causa desses desafios, os temas abrangentes da eficiência e da eficácia foram um grande foco. Mais de 90% dos entrevistados afirmam que o número de ferramentas pontuais usadas cria pontos cegos que dificultam a priorização de riscos e a prevenção de ameaças. A maioria das organizações (88%) sofre para identificar as ferramentas de segurança de que precisam. Felizmente, as equipes foram claras sobre quais recursos precisam. Quase 95% querem uma solução que forneça procedimentos de correção imediatos e quase o mesmo número concorda que se beneficiariam de uma solução que encontrasse automaticamente vulnerabilidades interconectadas e configurações incorretas com o maior potencial de um ataque bem-sucedido.
Por causa desses desafios, os temas abrangentes da eficiência e da eficácia foram um grande foco. Mais de 90% dos entrevistados afirmam que o número de ferramentas pontuais usadas cria pontos cegos que dificultam a priorização de riscos e a prevenção de ameaças. A maioria das organizações (88%) sofre para identificar as ferramentas de segurança de que precisam. Felizmente, as equipes foram claras sobre quais recursos precisam. Quase 95% querem uma solução que forneça procedimentos de correção imediatos e quase o mesmo número concorda que se beneficiariam de uma solução que encontrasse automaticamente vulnerabilidades interconectadas e configurações incorretas com o maior potencial de um ataque bem-sucedido.