Vendor View

I “segreti” sono davvero segreti? Serve aumentare la collaborazione tra team DevOps e Security

Il 75% delle aziende dichiara di non avere una strategia di sicurezza degli account privilegiati per DevOps, è quanto risulta dal report Advanced Threat Landscape 2018 rilasciato da CyberArk

Pubblicato il 21 Dic 2017

Cyberark-Report

Man mano che si estende l’adozione di DevOps in tutti i settori e in tutte le aree geografiche, si assiste a una costante evoluzione e accelerazione della distribuzione di applicazioni e servizi per le aziende. Parallelamente, tuttavia, aumenta anche il numero di credenziali di account privilegiati e di segreti e, di conseguenza, incrementano i rischi correlati e si espande la superficie di attacco. I team DevOps e Security, dunque, devono essere in grado di implementare strategie e strumenti adeguati per far fronte alle nuove sfide in ambito cyber security.

Secondo il report Advanced Threat Landscape 2018 rilasciato da CyberArk, una delle società più importanti a livello globale operanti nel mercato della sicurezza degli account privilegiati, emerge un dato preoccupante: quasi tutti i professionisti DevOps e Security (il 99%), infatti, non conoscono l’esatta ubicazione degli account privilegiati e dei segreti nell’infrastruttura IT e il 75% dei professionisti della sicurezza non dispone di una strategia di protezione degli account privilegiati per DevOps, lasciando di fatto grandi punti deboli che possono essere sfruttati per un attacco.

“Nonostante l’esistenza di tecnologie dedicate, sono poche le aziende che gestiscono e proteggono i segreti, che diventano obiettivi primari per gli attacchi. Nelle mani di malintenzionati esterni o interni all’organizzazione, le credenziali e i segreti compromessi possono consentire agli attaccanti di acquisire il controllo completo dell’intera infrastruttura IT di un’azienda. È quindi preoccupante che la corsa ai vantaggi di IT e business resi possibili da DevOps non vada di pari passo con la consapevolezza di una superficie di attacco privilegiata in espansione e non gestita” ha affermato Elizabeth Lawler, Vice Presidente della Sicurezza DevOps di CyberArk.

Molti team DevOps non sono pienamente coscienti della quantità di segreti disseminati nell’infrastruttura IT, ma sono comunque consapevoli dalla necessità di migliorare la sicurezza. Più di un terzo (37%) dei professionisti DevOps che archiviano o distribuiscono informazioni nel cloud afferma che gli strumenti e gli ambienti DevOps compromessi rappresentano una delle maggiori vulnerabilità per la sicurezza della loro azienda, ma molti di essi affrontano il problema da soli. Solo un quarto dei team di sicurezza dichiara di avere una strategia di protezione degli account privilegiati per DevOps e circa due terzi (65%) degli intervistati sostiene che l’integrazione tra i team è carente.

Le aziende utilizzano sempre più gli strumenti di automazione e orchestrazione cloud per portare avanti le iniziative DevOps e circa la metà (49%) degli intervistati ha dichiarato di usare il cloud per lo sviluppo interno.

Tuttavia, dallo studio emerge che la mancanza di una strategia di sicurezza DevOps si estende anche al cloud. Circa due terzi (74%) degli intervistati si affida agli strumenti messi a disposizione dal fornitore cloud e questo significa che la sicurezza degli account privilegiati non è pienamente integrata nei processi DevOps quando si implementano nuovi ambienti.

Lawler conclude: “Nel complesso, i risultati del report di quest’anno indicano che molte aziende non comprendono la necessità o i meccanismi di protezione delle credenziali degli account privilegiati e dei segreti, tanto nel cloud quanto on-premise. Occorre che gli strumenti e le prassi di DevOps e sicurezza si fondano per proteggere le informazioni privilegiate in modo efficace. Sensibilizzare e favorire la collaborazione tra i team DevOps e sicurezza è il primo passo per aiutare le aziende a costruire una piattaforma di sicurezza scalabile che migliori costantemente man mano che vengono sviluppate, testate e rilasciate nuove iterazioni degli strumenti”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articolo 1 di 2