Misconfiguraties grootste oorzaak van securityproblemen in cloud native

Een cloud native-strategie kan diverse voordelen opleveren voor bedrijven. Organisaties kunnen bijvoorbeeld sneller nieuwe versies van software leveren. Maar wie overstapt naar een cloud native-strategie, moet ook rekening houden met security, stelt Snyk. 99% van de organisaties die voor het State of Cloud Native Application Security Report ondervraagd werden, ziet security dan ook als een belangrijk onderdeel van hun strategie.

Patchen blijft uitdaging

Toch gaan er nog vaak dingen fout, vooral doordat patches niet geïnstalleerd worden of doordat omgevingen verkeerd geconfigureerd worden. Maar liefst 45% van de security-incidenten bij de ondervraagde bedrijven was het gevolg van verkeerde configuraties binnen een omgeving; 38% was het gevolg van niet gedichte kwetsbaarheden. Hoe meer de cloud geadopteerd is binnen een bedrijf, hoe vaker dergelijke problemen voorkomen, aldus het onderzoek. Malware zorgt daarentegen voor maar 10% van de problemen bij bedrijven die de cloud adopteren, tegenover 14% van de incidenten bij organisaties die de cloud niet of nauwelijks geadopteerd hebben.

Opvallend is dat dit ook de gebieden zijn waar organisaties de meeste zorgen over hebben als ze overstappen naar cloud native: 58% maakt zich zorgen over misconfiguraties, 43% over kwetsbaarheden die niet gepatcht zijn. Verder maken bedrijven zich zorgen over onveilige API's (52%) en het lekken van geheimen (41%). Over malware maakt 23% zich zorgen.

Ook blijkt de kans dat er een datalek ontstaat door een werknemer twee keer groter is bij organisaties die een hoge mate van cloudadoptie hebben. Volgens Snyk benadrukt dit dat zero trust-principes steeds belangrijker worden in volledig geautomatiseerde cloudgebaseerde omgevingen. Hier maakt echter slechts een kwart van de bedrijven zich zorgen over. 

Automatisering leidt tot meer tests

Volgens Snyk speelt automatisering een sleutelrol bij het verbeteren van de beveiliging bij cloud native-bedrijven. Uit het onderzoek blijkt dat 70% van de bedrijven met een hoge mate van deploymentautomatisering dagelijks zijn beveiliging kan testen. Dat is zeventien keer meer dan organisaties die geen deploymentautomatisering hebben. 60% van die bedrijven test zijn beveiliging slechts maandelijks.

Bovendien is de kans dat een bedrijf beveiligingstests uitvoert in alle punten van de software development lifecycle twee keer groter als er veel geautomatiseerd wordt. Opvallend is dat 75% van de bedrijven die volledig geautomatiseerd zijn tests uitvoeren in het CI-systeem, tegenover 28% van bedrijven die helemaal niet automatiseren. Daarnaast voert 43% van de volledig geautomatiseerde bedrijven tests uit in de repositories van de broncode en 44% binnen lokale IDE's en CLI-tools, tegenover 16% en 24% van de organisaties die niets automatiseren. 

Veel testen heeft echter duidelijke voordelen: 72% van de respondenten met een hoge mate van automatisering wist kwetsbaarheden binnen een week te dichten. 36% deed dat gemiddeld zelfs binnen een dag. Bedrijven die weinig automatiseren hebben daarentegen minder zicht op hun beveiligingsproblemen. 28% geeft zelfs aan dat ze niet weten hoe lang het nu duurt om problemen op te lossen.