Die 15 größten Herausforderungen für Cloud- und Codesicherheit, die von CTOs aufgedeckt wurden

Wir haben uns mit 15 SaaS-CTOs über ihre Herausforderungen und Bedenken in Bezug auf Cloud- und Codesicherheit unterhalten. Warum?

• SaaS-CTOs stehen alle vor Herausforderungen bei der Sicherung ihres Produkts. Wir wollten diese Trends erkennen und ihre Bedürfnisse und Sorgen herausfinden.
• Kundenbefragungen sind für den Erfolg eines jeden Start-ups unerlässlich, und das gilt auch für Aikido! Wir lieben es, herauszufinden, was unsere Kunden zu sagen haben.
• Von Anfang an haben wir uns darauf konzentriert, unsere Sicherheitstools auf der Grundlage der wichtigsten Informationen für unsere Kunden zu entwickeln und weiterzuentwickeln.

Hier bei Aikido glauben wir an den offenen Austausch von Wissen, daher ist es nun an der Zeit, das weiterzugeben, was unsere Beratungen entdeckt und aufgedeckt haben.

Über unsere Beratung zu Cloud- und Codesicherheit

Die von uns befragten CTOs stammen aus Cloud-nativen Software-Startups mit 51-500 Mitarbeitern. Wir haben uns auf diese Cloud- und Codesicherheitsthemen konzentriert:

• die Priorität, die die Verhinderung einer Bedrohung erhalten kann
• Blocker zur Verhinderung von Bedrohungen
• den Grad ihrer Zufriedenheit mit den derzeitigen Lösungen
• welche anderen Lösungen sie verwendet haben und welche Mängel sie aufweisen
• Herausforderungen, denen sie gegenüberstehen
• ihre Anforderungen und gewünschten Ergebnisse
• Merkmale, die sie schätzen, und
• was sie in Zukunft erreichen wollen.

Wie wichtig ist es für Sie, Bedrohungen der Cloud- und Codesicherheit zu verhindern?

Beginnen wir mit der Priorität, die die CTOs der Abwehr von Sicherheitsbedrohungen einräumen. Unsere Erkenntnisse zeigen, dass CTOs der Bedrohungsabwehr eine hohe Priorität einräumen. Die durchschnittliche Bewertung liegt bei 8,27 (von 10). 93 % der CTOs stuften die Wichtigkeit der Bedrohungsabwehr mit 7 oder höher ein. 8 war die beliebteste Antwort, und 10 war die zweithöchste Wahl.

Was steht einer wirksamen Vorbeugung gegen Bedrohungen der Cloud- und Codesicherheit im Wege?

So sehr CTOs auch Cloud- und Codesicherheitsbedrohungen verhindern möchten, so sehr stehen dem Erfolg einige Hindernisse im Weg. Die drei größten Hindernisse waren konkurrierende Prioritäten, das Budget und die Komplexität.

Konkurrierende Prioritäten

Die wichtigste Antwort: konkurrierende Prioritäten (40 %). Was bedeutet dies für die Herausforderungen im Bereich der Sicherheit? Obwohl die CTOs der Sicherheit eine hohe Priorität einräumen, gibt es andere gleichwertige oder möglicherweise sogar wichtigere Anliegen innerhalb eines Unternehmens. Der Wettlauf zwischen der Einführung neuer Funktionen und den damit verbundenen Sicherheitsproblemen ist beispielsweise der Balanceakt der Cybersicherheit.

Da Sicherheit oft eine gute langfristige Investition ist, aber im Alltag weniger Auswirkungen hat, kann man die Arbeit leicht vernachlässigen.

Budgetzwänge

Das zweite Hindernis waren Budgetbeschränkungen (33 %). Die größte Herausforderung besteht darin, den ROI nachzuweisen, den Sicherheitsmaßnahmen für das Unternehmen bringen. Oder, wie es ein CTO ausdrückt: "Den Business Case für Investitionen in die Cloud-Sicherheit erstellen". Dies kann auch mit der oben erwähnten Depriorisierung im Tagesgeschäft zusammenhängen.

Komplexität

Komplexität belegt den dritten Platz (27 %). Das Problem dabei ist, dass es so viele potenzielle Bedrohungen gibt. Es ist mühsam und herausfordernd, ihnen Prioritäten zuzuordnen. Dies kann überwältigend sein, so dass man leicht den Überblick über die größten Bedrohungen verliert.

Wie zufrieden sind Sie mit Ihren derzeitigen Lösungen zur Verhinderung von Code- und Cloud-Sicherheitsbedrohungen?

Die durchschnittliche Bewertung liegt bei 6,4 und ein Drittel der CTOs bewertete ihre Zufriedenheit mit den aktuellen Lösungen mit 5 oder weniger. Nur 20 % waren mit einer 8 oder 9 sehr zufrieden, während 0 % eine perfekte 10 vergaben. Wichtig ist hier der Vergleich mit der viel höheren Priorität, die sie der Bedrohungsabwehr einräumen. Wir stellen eine deutliche und besorgniserregende Kluft zwischen Wichtigkeit und Zufriedenheit fest.

Welche anderen Sicherheitslösungen verwenden Sie und welche Schwachstellen haben sie?

Die aktuellen Sicherheitslösungen umfassen eine breite Palette von Produkten, die auf dem Markt erhältlich sind. Die CTOs nannten 11 Produkte, wobei SonarQube am häufigsten verwendet wurde (33 %). Darüber hinaus nutzten nicht mehr als 13 % der CTOs zum Zeitpunkt unserer Umfrage dieselben Produkte.

Preisgestaltung und Preismodelle

40 % der CTOs gaben an, dass der größte Schwachpunkt die hohen Preise und Preismodelle sind. Ein CTO berichtet von astronomisch hohen Preisen: "Wir zahlen heute für Software einen sechsstelligen Betrag. Ein anderer stellt die langfristige Tragfähigkeit der Preisgestaltung nach Zeilen in Frage: "Preismodelle, die sich an der Anzahl der Codezeilen orientieren, geben Anlass zur Sorge für die Zukunft.

Falsch-positive Meldungen

33 % gaben an, dass es sich um Fehlalarme handelt, d. h. um Alarme, die fälschlicherweise eine Schwachstelle oder eine bösartige Aktivität identifizieren. Wir alle können die Frustration nachvollziehen, die hier entsteht: Ermüdung durch Warnmeldungen und verschwendete Ressourcen, die durch Fehlalarme entstehen.

Weitere Schwachstellen der derzeitigen Lösungen

Zu den weiteren Schwachstellen gehören die Schwierigkeiten bei der Risikobewertung, die komplexe Einrichtung und Wartung, die fehlende Anpassung des Tech-Stacks und der begrenzte Schutz.

Ein CTO verweist auf die Frustration über die Notwendigkeit, mehrere Sicherheitslösungen einzusetzen:

Ich kenne keine Lösung, die mehrere Szenarien abdeckt. Das bedeutet, dass meine Erwartung als CTO wäre, dass die SaaS, die wir derzeit für automatische Sicherheitsscans unserer Codebasis verwenden, sicherlich nicht dasselbe sein wird wie eine Lösung, die die Einhaltung der Vorschriften bei einem unserer Cloud-Anbieter gewährleistet.

Was lernen wir daraus, was CTOs über aktuelle Schwachstellen in Sicherheitssoftware denken?

Hier ist die wichtigste Erkenntnis. CTOs suchen nach einem One-Stop-Shop für Cloud- und Codesicherheitssoftware, der Folgendes bietet:

• angemessene Preisgestaltung
• das Fehlen von Fehlalarmen
• eine unkomplizierte Einrichtung, und
• mühelose Wartung.

Was sind die größten Herausforderungen bei der Sicherung von Code und Cloud?

Die größten Herausforderungen für SaaS-CTOs sind derzeit der Widerstand innerhalb des Unternehmens, zu viele Informationen, die bewältigt werden müssen, sich entwickelnde Bedrohungen und die Komplexität einer vollständigen Abdeckung.

Interne Opposition

40 % gaben an, dass die größte Herausforderung interner Natur ist: mangelndes Bewusstsein oder andere Prioritäten bedeuten begrenzte Ressourcen. Dies bestätigt die beiden größten Hindernisse bei der Abwehr von Bedrohungen, die bereits erwähnt wurden (Prioritäten und Budget).

Die größte Herausforderung besteht darin, die Denkweise in den Unternehmen zu ändern und ihnen klarzumachen, dass Sicherheit eine Funktion ist und dass wir kontinuierlich in sie investieren müssen.

Das Management von Veränderungen ist bekanntermaßen schwierig. Noch schwieriger ist es, das Bewusstsein für sinnvolle Veränderungen in Bezug auf Einstellung und Strategie zu schärfen.

Zu viel Lärm

Die Informationsflut ist ein echtes Problem. 27 % der CTOs geben an, dass die größte Herausforderung darin besteht, zwischen den vielen Informationen die richtige Entscheidung zu treffen. Es ist nicht einfach zu verstehen, welche Bedrohungen priorisiert oder untersucht werden sollen und wie man mit ihnen umgeht. Auch hier kann es zu Sackgassen, Ineffizienzen und fehlgeleiteter Arbeit kommen, wenn Falschmeldungen im Spiel sind.

In den Protokollen scheinen unbegrenzt viele Daten enthalten zu sein, aber es gibt keine Möglichkeit zu verwalten, was sie alle bedeuten und von wem und wie sie behandelt werden sollten.

Entwicklung, Umfang und Komplexität der Bedrohungen

Die Entwicklung von Bedrohungen, der Erfassungsgrad und die Komplexität wurden als weniger wichtige Herausforderungen eingestuft. Sie bestätigen jedoch einige der in der Umfrage ermittelten Hindernisse und Schwachstellen.

Sicherheitsbedrohungen stagnieren nicht - sie entwickeln sich weiter und sind den Sicherheitslösungen meist einen Schritt voraus. Das bedeutet, dass sich auch Ihre Schwachstellen weiterentwickeln, was sich manchmal wie ein Spiel mit dem Maulwurf anfühlen kann.

Die Angreifer werden in ihren Methoden immer raffinierter, und es werden regelmäßig neue Schwachstellen entdeckt.

Die CTOs wiesen außerdem auf Herausforderungen hin, die einige der bei ihren derzeitigen Lösungen festgestellten Mängel bestätigen. Sie berichten von einer unvollständigen Abdeckung, die ein falsches Gefühl der Sicherheit vermittelt. Und in der Sicherheitsbranche ist das einfach nicht gut genug!

Sie versuchen zwar, ein Gefühl der Sicherheit zu vermitteln, aber ich bin besorgt, dass sie uns nicht wirklich vor den meisten Bedrohungen schützen.

Die unvollständige Abdeckung hängt mit der Notwendigkeit - oder der Wahrnehmung der Notwendigkeit - eines Flickenteppichs aus verschiedenen Lösungen zusammen:

Es gibt zu viele bewegliche Teile. Von den eigentlichen Erstentwicklungssystemen und der Software über den CICD-Prozess bis hin zur Anwendungsinfrastruktur und den Datenspeichern ... passen sie nicht in einen ganzheitlichen Lösungsansatz für die Sicherheitslage".

Was sind die gewünschten Geschäftsergebnisse von CTOs? Was ist den CTOs bei Cloud- und Codesicherheit am wichtigsten?

Wir haben diese beiden Fragen gestellt, um herauszufinden, welche strategischen Ziele sie verfolgen und was für das Erreichen dieser Ziele am wichtigsten ist.

Gewünschte Ergebnisse

Die CTOs bewerteten die drei wichtigsten strategischen Ergebnisse wie folgt:

1. Schutz des Markenrufs und des Kundenvertrauens (47 %)
2. Sensible Daten sind geschützt, was bedeutet, dass es keine Datenschutzverletzungen gibt (33 %)
3. Übernahme der Kosten für die Einhaltung der Vorschriften (20%)

Was ist am wichtigsten?

Und um diese gewünschten Ergebnisse zu erreichen, waren für die CTOs folgende Punkte am wichtigsten (bei dieser Frage konnten sie mehr als einen auswählen):

1. Geringer Wartungsaufwand (53%)
2. Zuverlässigkeit / Keine falsch positiven Ergebnisse (40%)
3. Klare und effektive Berichterstattung (33%)

Fällt Ihnen auf, was uns auffällt? Diese Erkenntnisse ähneln denen, die wir aus der Frage nach den Schwachstellen aktueller Sicherheitslösungen gewonnen haben.

Aber wie sieht es mit der Preisgestaltung aus?

Klare und effektive Berichterstattung ersetzt jedoch in der obigen Liste die angemessene Preisgestaltung im Vergleich zu den Fehlern, die man gelernt hat. Im Gegensatz zu den Kommentaren und Entscheidungen zu Preis und Budget weiter oben in der Umfrage gaben nur 7 % der Befragten der Preisgestaltung in dieser Frage den Vorrang. Was könnte das bedeuten?

Lassen Sie uns die Verwirrung über den Preis ausräumen. Wir interpretieren dies so, dass der Preis eine Herausforderung und ein Hindernis darstellt, wenn die Sicherheitssoftware nicht die Erwartungen erfüllt. Ist die Sicherheitslösung jedoch präzise, einfach zu warten, entmystifiziert die Komplexität durch eine unkomplizierte Berichterstattung und trägt dazu bei, die übergeordneten Ziele zu erreichen, nämlich den Ruf der Marke zu schützen, das Vertrauen der Kunden zu gewinnen und die Daten sicher zu halten, während gleichzeitig die Compliance-Standards eingehalten werden, ist der Preis weniger ein Hindernis und leichter zu rechtfertigen.

Die wichtigsten Merkmale bei der Auswahl von Software für Cloud- und Codesicherheit

Wir haben die SaaS-CTOs auch gefragt, welche technischen Merkmale für sie am wichtigsten sind. Sie bewerteten fünf Aussagen wie folgt (Punktzahlen von 4):

1. Erkennung von Cloud-Fehlkonfigurationen - 3,67 (33 % bewerteten dies an erster Stelle)
2. Open Source Vulnerability Scanning - 3.53 (33% bewerteten dies als erstes)
3. Erkennung von Geheimnissen (API-Schlüssel, Passwörter, Zertifikate usw.) - 3,53 (über 53 % bewerteten dies als zweitrangig)
4. Statische Code-Analyse über CI/CD-Plattformen - 2.93
5. Open-Source-Lizenz-Scanning - 1,33 (80% bewerteten dies als letztes)

Welche dieser Sicherheitsfunktionen sind für Sie am wichtigsten? Gibt es noch andere, die Sie gerne in Ihrer Sicherheitslösung sehen würden?

Sie möchten ein Produkt, das Ihre Herausforderungen im Bereich Cloud- und Codesicherheit löst?

Auf die Frage, was sie in Zukunft erreichen möchten, nannten die CTOs vor allem die folgende Aussage:

Ich möchte mich vor Bedrohungen der Cloud- und Codesicherheit vollkommen sicher fühlen.

Das ist Musik in unseren Ohren. Willem, unser CTO, hatte bei seinen früheren Unternehmen mit genau diesem Problem zu kämpfen. Dieser Schmerzpunkt brachte ihn auf die Mission, die richtige Lösung zu schaffen. Und genau das ist es, was wir mit Aikido aufbauen.

Unsere Lösung vereint die besten Open-Source-Software-Sicherheitstools. So können Sie alle relevanten Bereiche abdecken. Aikido zeigt Ihnen auch, welche Probleme und Schwachstellen wirklich wichtig sind und welche Sie tatsächlich lösen sollten. Hier gibt es keine Fehlalarme!

Sehen Sie selbst, wie Aikido die Herausforderungen eines CTOs im Bereich Cloud- und Codesicherheit lösen kann. Machen Sie eine kostenlose Testfahrt mit Aikido oder nehmen Sie Kontakt mit uns auf.