Sicherheitsteams stehen vor der schwierigen Aufgabe, jeden einzelnen Workload in jeder Cloud und in der Entwicklungspipeline zu überwachen und abzusichern. Aus Entwicklersicht werden diese Prozesse unweigerlich zu einem Engpass und frustrieren die Entwickler. Verständlicherweise haben Entwickler das Gefühl, dass Sicherheit ihre Arbeit nur erschwert. Andererseits haben Sicherheitsteams das Gefühl, sie seien machtlos, einen umfassenden Schutz zu gewährleisten.

Die ideale Welt wäre eine Welt, in der Cloud-Sicherheit unsichtbar ist und nahtlos über alle Workloads hinweg eingesetzt wird, ohne die Cloud-Performance zu beeinträchtigen. Doch wie realistisch ist es heute, dies zu erreichen?

Entwicklung der Sicherheitstransparenz

Es gibt verschiedene Arten von Tools, um die Sicherheitstransparenz zu erhöhen und gleichzeitig die Reibung zwischen Softwareentwicklung, Betrieb und Sicherheit zu verringern.

• Agenten : Agenten werden als Anwendung installiert und gewartet, die parallel zu benutzerdefinierten Workloads ausgeführt wird und Einblick in die Vorgänge auf den einzelnen Hosts bietet.
• Netzwerkscan : Scanner prüfen Ressourcen extern und suchen nach bekannten Konfigurationsfehlern und anderen Schwachstellen.
• CSPM : Cloud Security Posture Manager überwachen Cloud-Konfigurationen und analysieren Sicherheitsdienstkonfigurationen, einschließlich virtueller Maschinen, Netzwerke, Speicherbereiche und mehr. CSPMs nutzen agentenbasierte Lösungen, um Einblicke in Workload-Ressourcen zu erhalten und Risiken zu messen.
• CWPP : Cloud Workload Protection-Plattformen messen Workload-spezifische Risiken wie Software-Schwachstellen, Malware und Host- oder Container-basierte Fehlkonfigurationen.

Trotz der Verfügbarkeit dieser Angebote sind mit jedem dieser Angebote Herausforderungen verbunden. Vor allem reduziert die isolierte Verwendung eines einzelnen Tools den Kontext des umfassenderen Sicherheitsszenarios. Ohne ausreichenden Kontext können Sicherheitswarnungen nicht sinnvoll priorisiert werden.

Der Kontext ist der Schlüssel zur Risikobestimmung

Ohne den vollständigen Kontext einer bestimmten Cloud-Umgebung zu verstehen, ist es für Cloud-Sicherheitsteams schwierig, Sicherheitsprobleme zu erkennen und Warnmeldungen schnell zu priorisieren. Darüber hinaus hat jedes der oben genannten Sichtbarkeitstools seine eigenen kontextbezogenen Einschränkungen:

• Bei einem agentenbasierten Ansatz obliegt es dem Sicherheitsteam, den notwendigen Kontext zu Warnmeldungen hinzuzufügen. Bedenkt man jedoch, dass diese Teams in der Regel für die Verwaltung von Dutzenden oder Hunderten von Cloud-Konten über Tausende von Ressourcen hinweg verantwortlich sind, ist es unmöglich, allein durch Warnmeldungen den richtigen Kontext auf Workload-Ebene bereitzustellen.
• Netzwerkscanner stellen nur eine Teillösung für die Cloud-Sicherheit dar. Sie weisen „blinde Flecken“ auf und erkennen entweder nicht alle Cloud-Ressourcen oder können diese nicht gründlich analysieren.
• CWPP-Plattformen integrieren pro Asset; daher ist ihre Fähigkeit, den Kontext jeder Arbeitslast zu verstehen, minimal.
• CSPM bietet lediglich Einblicke in die Sicherheitskontrollen, nicht in die zugrunde liegenden Daten.

Sicherheitswarnungen „außer Kontrolle geraten“

Der wichtigste Faktor für „ausufernde Warnmeldungen“ ist, dass die meisten Cloud-Sicherheitsansätze nur eine Risikodimension berücksichtigen: die Schwere des zugrunde liegenden Sicherheitsproblems. Das Ignorieren dieser zugrunde liegenden Probleme führt jedoch unweigerlich dazu, dass Ihre Cloud als eine lange Liste kontextloser Warnmeldungen betrachtet wird, was zu Warnmeldungsmüdigkeit führt. Das Verständnis der Risiken ist jedoch viel schwerwiegender und umfasst:

• Schweregrad: Wie schwerwiegend ist das zugrunde liegende Sicherheitsproblem?
• Gefährdung: Wer kann das Sicherheitsproblem ausnutzen?
• Explosionsradius: Welche Auswirkungen kann es auf das Geschäft haben?

Wenn wir Risiken pragmatisch betrachten, erhalten wir eine viel genauere Vorstellung davon, wie schwerwiegend ein bestimmtes Risiko tatsächlich ist.

Anwendungsfall: Wie Kontext Ihrem SOC hilft, nachts besser zu schlafen

Das Folgende veranschaulicht, wie der Kontext hilfreich sein kann. Auf Server 1 und Server 2 wird jeweils ein Webserver ausgeführt, der eine Bibliothek verwendet, die anfällig für Remote-Ausführung ist und einen hohen CVE-Score aufweist.

Ein kontextloser Ansatz würde diese Schwachstelle mit einem statischen CVSS-Score melden. Somit erhalten beide Workloads letztendlich den gleichen Score und die gleiche Risikokategorisierung. Theoretisch wird für jede dieser Warnungen gleich viel Zeit aufgewendet.

Was passiert, wenn wir auch den Umgebungskontext berücksichtigen? Wir können feststellen, dass der Dienst auf Server 1 internetfähig ist und daher das Risiko als unmittelbar bevorstehende Gefährdung eingestuft wird. Server 2 ist nicht internetfähig und kann nur von einem anderen Host direkt erreicht werden. Daher wird die Risikostufe auf „Mittel“ herabgestuft.

Dieses Beispiel verdeutlicht, dass Kontext in jeder Sicherheitsstrategie unerlässlich ist. Bei Tausenden von Warnmeldungen müssen Sie wissen, welche wahrscheinlich zu einer Gefährdung führen und sofortiges Handeln erfordern, und welche warten können.

Orca Security: Erhöht die Effektivität Ihres Sicherheitsteams erheblich

Die speziell entwickelte Cloud-Sicherheitsplattform von Orca Security erkennt sowohl Workload- als auch Cloud-Risiken und nutzt Beobachtungen beider Seiten, um die Risiken der jeweils anderen Seite zu ermitteln. Wenn Orca Software-Schwachstellen auf einem Host findet, werden verschiedene Kontextfaktoren berücksichtigt:

• Zugänglichkeit des Cloud-Netzwerks
• Alter der bekannten Schwachstellen
• Ausbeutungspfade und mehr.

Sämtliche Informationen werden zur Bewertung der einzelnen Warnungen verwendet, wodurch die vielen Warnungen auf die wenigen wichtigen reduziert werden.

PagerDuty + Orca Security

Orca Security ermöglicht DevOps-Teams mithilfe der umfassenden Plattform für digitales Betriebsmanagement von PagerDuty die schnelle Entwicklung und Veröffentlichung von Software ohne Kompromisse bei der Sicherheit. Dank der SideScanning™-Technologie von Orca Security profitieren DevOps-Teams von einem Zero-Touch-Ansatz für Cloud-Sicherheit, der vollständige Transparenz und Abdeckung bietet. Orca Security identifiziert Risiken sowohl tief in Ihren Workloads als auch in allen von Ihnen genutzten Cloud-Diensten und leitet diese kontextbezogenen Risikowarnungen an PagerDuty weiter, um einheitliche Transparenz und letztendlich Maßnahmen und Lösungen zu gewährleisten.

Integrationsvorteile

• Benachrichtigen Sie Bereitschaftskräfte anhand von Warnungen, die von Orca gesendet werden.
• Erstellen Sie Warnungen mit unterschiedlichem Schweregrad basierend auf kontextbezogenen Erkenntnissen von Orca.
• Warnungen in PagerDuty werden behoben, wenn Orca feststellt, dass das betreffende Problem im jeweiligen Cloud-Konto behoben wurde.

So funktioniert es

• Orca Security scannt kontinuierlich Ihre Workloads und Cloud-Konfiguration. Bei erkannten Risiken wird ein Ereignis an einen Dienst in PagerDuty gesendet.
• Sobald das Problem gelöst und in Orca erkannt wurde, wird ein Lösungsereignis an den PagerDuty -Dienst gesendet, um den Alarm und den zugehörigen Vorfall bei diesem Dienst zu lösen.
• Warnungen von Orca Security lösen einen neuen Vorfall beim entsprechenden PagerDuty -Dienst aus.

Schauen Sie sich das On-Demand-Video auf dem PagerDuty Virtual Summit 2021 an: „Unsichtbare Sicherheit mit der Geschwindigkeit der Cloud“, präsentiert von Patrick Pushor, Technical Evangelist bei Orca Security. Sie können Registrieren Sie sich für die Veranstaltung, um die On-Demand-Sitzung anzusehen !

Um mehr über die Orca Security zu erfahren und PagerDuty -Integration , besuchen Sie https://www.pagerduty.com/integrations/orca-security/.