Les équipes de sécurité ont la lourde tâche de surveiller et de sécuriser chaque charge de travail dans chaque cloud et pour les charges de travail du pipeline de développement. Inévitablement, ces processus finissent par constituer un goulot d'étranglement du point de vue du développeur, ce qui frustre les développeurs. Il est compréhensible que les développeurs aient l'impression que la sécurité ne fait que compliquer leur travail. Mais, d'un autre côté, les équipes de sécurité ont le sentiment qu'elles ne peuvent pas assurer une couverture complète.

Le monde idéal serait celui où la sécurité du cloud serait invisible et déployée de manière transparente sur toutes les charges de travail sans impact sur les performances du cloud. Mais est-il réaliste d'y parvenir aujourd'hui ?

Evolution de la visibilité de la sécurité

Il existe plusieurs types d’outils permettant d’accroître la visibilité de la sécurité tout en réduisant les frictions entre le développement logiciel, les opérations et la sécurité.

• Agents :Les agents sont installés et gérés en tant qu'application qui s'exécute parallèlement aux charges de travail personnalisées, offrant une visibilité sur ce qui s'exécute sur chaque hôte.
• Numérisation du réseau :Les scanners sondent les ressources en externe, à la recherche d'erreurs de configuration connues et d'autres vulnérabilités.
• CSPM : Les gestionnaires de posture de sécurité du cloud surveillent les configurations du cloud et analysent les configurations des services de sécurité, notamment les machines virtuelles, les réseaux, les compartiments de stockage, etc. Les CSPM s'appuient sur des solutions basées sur des agents pour analyser les ressources des charges de travail afin de mesurer les risques.
• CWPP :Les plateformes de protection des charges de travail cloud mesurent les risques spécifiques aux charges de travail, tels que les vulnérabilités logicielles, les logiciels malveillants et les mauvaises configurations basées sur l'hôte ou le conteneur.

Malgré la disponibilité de ces offres, chacune d'entre elles présente des défis. Plus important encore, l'utilisation d'un outil isolé réduit le contexte du scénario de sécurité plus large. Sans contexte adéquat, les alertes de sécurité ne peuvent pas être hiérarchisées de manière vraiment utile.

Le contexte est essentiel pour déterminer le risque

Sans comprendre le contexte complet d'un environnement cloud donné, il est difficile pour les équipes de sécurité cloud de comprendre les problèmes de sécurité et de trier rapidement les alertes. De plus, chacun des outils de visibilité mentionnés ci-dessus a ses propres limites liées au contexte :

• Avec une approche basée sur les agents, l'ajout du contexte nécessaire aux alertes incombe à l'équipe de sécurité. Cependant, si l'on considère que ces équipes sont généralement chargées de gérer des dizaines ou des centaines de comptes cloud sur des milliers de ressources, il est impossible d'appliquer un contexte approprié au niveau de la charge de travail en utilisant uniquement les alertes.
• Les scanners réseau n'offrent qu'une solution partielle à la sécurité du cloud ; ils présentent des « angles morts » et ne voient pas tous les actifs du cloud ou ne peuvent pas les analyser en profondeur.
• Les plates-formes CWPP s'intègrent par actif ; par conséquent, leur capacité à comprendre le contexte de chaque charge de travail est minimale.
• Le CSPM n’a de perspectives que sur les contrôles de sécurité, pas sur les données sous-jacentes.

Alertes de sécurité « devenues folles »

Le facteur le plus important qui contribue à la « déraison des alertes » est que la plupart des approches de sécurité du cloud ne prennent en compte qu’une seule dimension du risque : la gravité du problème de sécurité sous-jacent. Mais ignorer les problèmes sous-jacents revient invariablement à traiter votre cloud comme une longue liste d’alertes sans contexte, ce qui entraîne une lassitude vis-à-vis des alertes. Mais comprendre le risque est bien plus sérieux, car il implique :

• Gravité : quelle est l’importance du problème de sécurité sous-jacent ?
• Exposition : qui peut tirer profit du problème de sécurité ?
• Rayon d'explosion : quel impact potentiel sur l'entreprise ?

Si nous envisageons le risque de manière pragmatique, nous obtenons une vision beaucoup plus précise de la gravité réelle d’un risque donné.

Cas d'utilisation : comment le contexte aide votre SOC à mieux dormir la nuit

L'exemple suivant illustre comment le contexte peut aider. Le serveur 1 et le serveur 2 exécutent tous deux un serveur Web qui utilise une bibliothèque vulnérable à l'exécution à distance avec un score CVE élevé.

Une approche sans contexte signalerait cette vulnérabilité avec un score CVSS statique. Ainsi, les deux charges de travail obtiendront le même score et la même catégorisation des risques. En théorie, le même temps sera consacré à chacune de ces alertes.

Et si nous tenions également compte du contexte environnemental ? Nous pouvons dire que le service sur le serveur 1 est connecté à Internet et que, par conséquent, le risque est classé comme une compromission imminente. Le serveur 2 n'est pas connecté à Internet et ne peut être atteint directement que depuis un autre hôte. Le niveau de risque est donc abaissé à Moyen.

Cet exemple illustre le fait que le contexte est un élément indispensable de toute stratégie de sécurité. Avec des milliers et des milliers d'alertes, vous devez savoir lesquelles sont susceptibles d'entraîner une compromission et de nécessiter une action immédiate, par rapport à celles qui peuvent attendre.

Orca Security : augmente considérablement l'efficacité de votre équipe de sécurité

La plateforme de sécurité cloud spécialement conçue par Orca Security détecte les risques liés à la charge de travail et au cloud et utilise les observations de chaque côté pour informer les risques détectés dans l'autre. Lorsqu'Orca détecte des vulnérabilités logicielles sur un hôte, plusieurs facteurs contextuels sont pris en compte :

• Accessibilité du réseau cloud
• Âge des vulnérabilités connues
• Chemins d'exploitation et plus.

Toutes les informations sont utilisées pour évaluer chaque alerte, réduisant ainsi les nombreuses alertes à quelques-unes importantes.

PagerDuty + Orca Sécurité

Orca Security permet aux équipes de développement utilisant la vaste plateforme de gestion des opérations numériques de PagerDuty de créer et de publier rapidement des logiciels sans compromettre la sécurité. Grâce à la technologie SideScanning™ d'Orca Security, les équipes de développement bénéficient d'une approche sans contact de la sécurité du cloud qui offre une visibilité et une couverture complètes et complètes. Orca Security identifiera les risques à la fois au sein de vos charges de travail et dans l'ensemble de tous les services cloud que vous exploitez et transmettra ces alertes contextuelles à risque à PagerDuty pour fournir une visibilité unifiée et, en fin de compte, une action et une résolution.

Avantages de l'intégration

• Informez les intervenants d'astreinte en fonction des alertes envoyées par Orca.
• Créez des alertes de différentes gravités en fonction des résultats contextuels d'Orca.
• Les alertes dans PagerDuty seront résolues lorsqu'Orca constatera que le problème en question a été résolu dans le compte cloud concerné.

Comment ça fonctionne

• Orca Security analyse en permanence vos charges de travail et votre configuration cloud. Tous les risques identifiés enverront un événement à un service dans PagerDuty.
• Une fois le problème résolu et réalisé dans Orca, un événement de résolution sera envoyé au service PagerDuty pour résoudre l'alerte et l'incident associé sur ce service.
• Les alertes d'Orca Security déclencheront un nouvel incident sur le service PagerDuty correspondant.

Venez visionner la vidéo à la demande du PagerDuty Virtual Summit 2021, « Invisible Security At The Speed ​​Of Cloud » présenté par Patrick Pushor, évangéliste technique, Orca Security. Tu peux inscrivez-vous à l'événement pour voir la session à la demande !

Pour en savoir plus sur Orca Security et Intégration PagerDuty , visitez https://www.pagerduty.com/integrations/orca-security/.