Sicherheitsteams haben die schwierige Aufgabe, jede einzelne Workload in jeder Cloud und in der Entwicklungspipeline zu überwachen und zu sichern. Aus Sicht der Entwickler werden diese Prozesse unweigerlich zu einem Engpass und frustrieren die Entwickler. Verständlicherweise haben Entwickler das Gefühl, dass die Sicherheit ihre Arbeit nur erschwert. Auf der anderen Seite haben Sicherheitsteams das Gefühl, dass sie nicht in der Lage sind, eine vollständige Abdeckung zu gewährleisten.

In einer perfekten Welt wäre Cloud-Sicherheit unsichtbar und würde nahtlos für alle Workloads bereitgestellt, ohne die Cloud-Leistung zu beeinträchtigen. Aber wie realistisch ist es, dies heute zu erreichen?

Entwicklung der Sicherheitstransparenz

Es gibt verschiedene Arten von Tools, um die Sicherheitstransparenz zu erhöhen und gleichzeitig die Reibung zwischen Softwareentwicklung, Betrieb und Sicherheit zu verringern.

• Agenten : Agenten werden als Anwendung installiert und verwaltet, die parallel zu benutzerdefinierten Workloads ausgeführt wird und Einblick in die Vorgänge auf den einzelnen Hosts bietet.
• Netzwerkscan : Scanner prüfen Ressourcen extern und suchen nach bekannten Konfigurationsfehlern und anderen Schwachstellen.
• CSPM : Cloud Security Posture Manager überwachen Cloud-Konfigurationen und analysieren Sicherheitsdienstkonfigurationen, einschließlich virtueller Maschinen, Netzwerke, Speicher-Buckets und mehr. CSPMs verlassen sich auf agentenbasierte Lösungen, um Einblick in Workload-Ressourcen zu erhalten und so Risiken zu messen.
• CWPP : Cloud Workload Protection-Plattformen messen workloadspezifische Risiken wie Softwareschwachstellen, Malware und Host- oder Container-basierte Fehlkonfigurationen.

Trotz der Verfügbarkeit dieser Angebote sind mit jedem dieser Angebote auch Herausforderungen verbunden. Am wichtigsten ist, dass die Verwendung eines einzelnen Tools in einem Silo den Kontext des umfassenderen Sicherheitsszenarios reduziert. Ohne angemessenen Kontext können Sicherheitswarnungen nicht wirklich sinnvoll priorisiert werden.

Der Kontext ist der Schlüssel zur Risikobestimmung

Ohne den vollständigen Kontext einer bestimmten Cloud-Umgebung zu verstehen, ist es für Cloud-Sicherheitsteams schwierig, Sicherheitsprobleme zu verstehen und dann schnell Warnmeldungen zu priorisieren. Darüber hinaus hat jedes der oben genannten Sichtbarkeitstools seine eigenen kontextbezogenen Einschränkungen:

• Bei einem agentenbasierten Ansatz obliegt es dem Sicherheitsteam, den erforderlichen Kontext zu Warnmeldungen hinzuzufügen. Wenn man jedoch bedenkt, dass diese Teams normalerweise für die Verwaltung von Dutzenden oder Hunderten von Cloud-Konten über Tausende von Ressourcen hinweg verantwortlich sind, ist es unmöglich, allein mithilfe von Warnmeldungen den richtigen Kontext auf Workload-Ebene hinzuzufügen.
• Netzwerkscanner stellen nur eine Teillösung für die Cloud-Sicherheit dar; sie haben „blinde Flecken“ und erkennen entweder nicht alle Cloud-Ressourcen oder können diese nicht eingehend analysieren.
• CWPP-Plattformen integrieren pro Asset; daher ist ihre Fähigkeit, den Kontext jeder Arbeitslast zu verstehen, minimal.
• CSPM bietet lediglich Einblicke in die Sicherheitskontrollen, nicht in die zugrunde liegenden Daten.

Sicherheitswarnungen „außer Kontrolle geraten“

Der wichtigste Faktor, der zu „außer Kontrolle geratenen Warnungen“ beiträgt, ist, dass die meisten Cloud-Sicherheitsansätze nur eine Risikodimension berücksichtigen: die Schwere des zugrunde liegenden Sicherheitsproblems. Wenn Sie die zugrunde liegenden Probleme ignorieren, wird Ihre Cloud jedoch unweigerlich als lange Liste kontextloser Warnungen behandelt, was zu einer Warnungsmüdigkeit führt. Das Verständnis des Risikos ist jedoch viel schwerwiegender und umfasst:

• Schweregrad: Wie schwerwiegend ist das zugrunde liegende Sicherheitsproblem?
• Gefährdung: Wer kann das Sicherheitsproblem ausnutzen?
• Explosionsradius: Welche Auswirkungen sind möglich auf das Geschäft?

Wenn wir Risiken pragmatisch betrachten, erhalten wir eine viel genauere Vorstellung davon, wie schwerwiegend ein bestimmtes Risiko tatsächlich ist.

Anwendungsfall: Wie Kontext Ihrem SOC hilft, nachts besser zu schlafen

Das Folgende veranschaulicht, wie der Kontext hilfreich sein kann. Auf Server 1 und Server 2 wird jeweils ein Webserver ausgeführt, der eine Bibliothek verwendet, die anfällig für Remote-Ausführung ist und einen hohen CVE-Score aufweist.

Ein kontextloser Ansatz würde diese Schwachstelle mit einem statischen CVSS-Score melden. Somit erhalten beide Workloads am Ende denselben Score und dieselbe Risikokategorisierung. Theoretisch wird für jede dieser Warnungen die gleiche Zeit aufgewendet.

Was wäre, wenn wir auch den Umgebungskontext berücksichtigen würden? Wir können feststellen, dass der Dienst auf Server 1 internetfähig ist und daher das Risiko als unmittelbar bevorstehende Gefährdung eingestuft wird. Server 2 ist nicht internetfähig und kann von keinem anderen Host aus direkt erreicht werden als von einem anderen Host. Daher wird die Risikostufe auf Mittel herabgestuft.

Dieses Beispiel soll verdeutlichen, dass Kontext in jeder Sicherheitsstrategie unverzichtbar ist. Bei Tausenden und Abertausenden von Warnmeldungen müssen Sie wissen, welche davon wahrscheinlich zu einer Gefährdung führen und sofortige Maßnahmen erfordern, und welche warten können.

Orca Security: Steigert die Effektivität Ihres Sicherheitsteams erheblich

Die speziell entwickelte Cloud-Sicherheitsplattform von Orca Security erkennt sowohl Workload- als auch Cloud-Risiken und nutzt Beobachtungen von beiden Seiten, um über die Risiken der anderen Seite zu informieren. Wenn Orca Software-Schwachstellen auf einem Host findet, werden mehrere Kontextfaktoren berücksichtigt:

• Zugänglichkeit des Cloud-Netzwerks
• Alter der bekannten Schwachstellen
• Ausbeutungspfade und mehr.

Sämtliche Informationen werden zur Bewertung der einzelnen Warnungen verwendet, wodurch die vielen Warnungen auf die wenigen wichtigen reduziert werden.

PagerDuty + Orca-Sicherheit

Orca Security ermöglicht es DevOps-Teams, die PagerDutys umfangreiche Plattform für digitales Betriebsmanagement zu nutzen, um Software schnell zu entwickeln und zu veröffentlichen, ohne Kompromisse bei der Sicherheit einzugehen. Durch die Nutzung der SideScanning™-Technologie von Orca Security profitieren DevOps-Teams von einem Zero-Touch-Ansatz für Cloud-Sicherheit, der vollständige und umfassende Transparenz und Abdeckung bietet. Orca Security identifiziert Risiken sowohl tief in Ihren Workloads als auch in allen von Ihnen genutzten Cloud-Diensten und leitet diese kontextbezogenen Risikowarnungen an PagerDuty weiter, um einheitliche Transparenz und letztendlich Maßnahmen und Lösungen zu bieten.

Vorteile der Integration

• Benachrichtigen Sie diensthabende Einsatzkräfte auf Grundlage von Warnmeldungen, die von Orca gesendet werden.
• Erstellen Sie Warnungen mit unterschiedlichem Schweregrad basierend auf kontextbezogenen Erkenntnissen von Orca.
• Warnungen in PagerDuty werden behoben, wenn Orca feststellt, dass das betreffende Problem im jeweiligen Cloud-Konto behoben wurde.

Wie es funktioniert

• Orca Security scannt ständig Ihre Workloads und Cloud-Konfiguration. Alle identifizierten Risiken senden ein Ereignis an einen Dienst in PagerDuty.
• Sobald das Problem gelöst und in Orca erkannt wurde, wird ein Lösungsereignis an den PagerDuty Dienst gesendet, um den Alarm und den zugehörigen Vorfall bei diesem Dienst zu lösen.
• Warnungen von Orca Security lösen einen neuen Vorfall beim entsprechenden PagerDuty Dienst aus.

Kommen Sie und sehen Sie sich das On-Demand-Video beim PagerDuty Virtual Summit 2021 an: „Unsichtbare Sicherheit mit der Geschwindigkeit der Cloud“, präsentiert von Patrick Pushor, Technical Evangelist, Orca Security. Sie können registrieren Sie sich für die Veranstaltung, um die On-Demand-Sitzung anzusehen !

Um mehr über die Orca Security zu erfahren und PagerDuty Integration besuchen Sie https://www.pagerduty.com/integrations/orca-security/.