Les équipes de sécurité ont la lourde tâche de surveiller et de sécuriser chaque charge de travail dans chaque cloud, ainsi que celles du pipeline de développement. Inévitablement, ces processus finissent par constituer un goulot d'étranglement pour les développeurs, ce qui engendre une certaine frustration. Naturellement, les développeurs ont l'impression que la sécurité ne fait que compliquer leur travail. Mais, d'un autre côté, les équipes de sécurité se sentent impuissantes à assurer une couverture complète.

L'idéal serait que la sécurité du cloud soit invisible et déployée de manière transparente sur toutes les charges de travail sans impacter les performances du cloud. Mais est-il réaliste d'y parvenir aujourd'hui ?

Évolution de la visibilité de la sécurité

Il existe plusieurs types d’outils permettant d’accroître la visibilité de la sécurité tout en réduisant les frictions entre le développement logiciel, les opérations et la sécurité.

• Agents :Les agents sont installés et maintenus en tant qu'application qui s'exécute parallèlement à des charges de travail personnalisées, offrant une visibilité sur ce qui s'exécute sur chaque hôte.
• Analyse du réseau :Les scanners sondent les ressources en externe, à la recherche d'erreurs de configuration connues et d'autres vulnérabilités.
• CSPM Les gestionnaires de sécurité cloud surveillent les configurations cloud et analysent les configurations des services de sécurité, notamment les machines virtuelles, les réseaux, les compartiments de stockage, etc. Les gestionnaires de sécurité cloud s'appuient sur des solutions basées sur des agents pour analyser les ressources des charges de travail et mesurer les risques.
• CWPP :Les plateformes de protection des charges de travail cloud mesurent les risques spécifiques aux charges de travail, tels que les vulnérabilités logicielles, les logiciels malveillants et les erreurs de configuration basées sur l'hôte ou le conteneur.

Malgré la disponibilité de ces offres, chacune d'entre elles présente des défis. Plus important encore, l'utilisation d'un seul outil en silo réduit la prise en compte du contexte de sécurité global. Sans contexte adéquat, les alertes de sécurité ne peuvent pas être priorisées de manière véritablement efficace.

Le contexte est essentiel pour déterminer le risque

Sans une compréhension complète du contexte d'un environnement cloud donné, il est difficile pour les équipes de sécurité cloud de comprendre les problèmes de sécurité et de traiter rapidement les alertes. De plus, chacun des outils de visibilité mentionnés ci-dessus présente ses propres limites liées au contexte :

• Avec une approche basée sur les agents, l'ajout du contexte nécessaire aux alertes incombe à l'équipe de sécurité. Cependant, sachant que ces équipes sont généralement chargées de gérer des dizaines, voire des centaines de comptes cloud répartis sur des milliers de ressources, appliquer un contexte approprié à la charge de travail à l'aide des seules alertes est impossible.
• Les scanners réseau n'offrent qu'une solution partielle à la sécurité du cloud ; ils présentent des « angles morts » et ne voient pas tous les actifs du cloud ou ne peuvent pas analyser les actifs en profondeur.
• Les plates-formes CWPP s'intègrent par actif ; par conséquent, leur capacité à comprendre le contexte de chaque charge de travail est minimale.
• Le CSPM n’a de perspectives que sur les contrôles de sécurité, pas sur les données sous-jacentes.

Alertes de sécurité « dégénérées »

Le facteur le plus important contribuant aux alertes incontrôlables est que la plupart des approches de sécurité cloud ne prennent en compte qu'une seule dimension du risque : la gravité du problème de sécurité sous-jacent. Or, ignorer les problèmes sous-jacents revient invariablement à traiter votre cloud comme une longue liste d'alertes dénuées de contexte, ce qui engendre une lassitude vis-à-vis des alertes. Or, comprendre le risque est bien plus complexe et implique :

• Gravité : quelle est l’importance du problème de sécurité sous-jacent ?
• Exposition : qui peut profiter du problème de sécurité ?
• Rayon d'explosion : quel est l'impact potentiel sur l'entreprise ?

Si nous envisageons le risque de manière pragmatique, nous obtenons une vision beaucoup plus précise de la gravité réelle d’un risque donné.

Cas d'utilisation : comment le contexte aide votre SOC à mieux dormir la nuit

L'exemple suivant illustre l'utilité du contexte. Les serveurs 1 et 2 exécutent tous deux un serveur Web utilisant une bibliothèque vulnérable à l'exécution à distance avec un score CVE élevé.

Une approche sans contexte signalerait cette vulnérabilité avec un score CVSS statique. Ainsi, les deux charges de travail obtiendraient le même score et la même catégorisation de risque. En théorie, le temps consacré à chacune de ces alertes serait identique.

Et si l'on prenait également en compte le contexte environnemental ? On constate que le service du serveur 1 est connecté à Internet et que, par conséquent, le risque est considéré comme une compromission imminente. Le serveur 2 n'est pas connecté à Internet et n'est accessible directement que depuis un autre hôte. Le niveau de risque est donc abaissé à « Moyen ».

Cet exemple illustre l'importance du contexte dans toute stratégie de sécurité. Avec des milliers d'alertes, il est essentiel de savoir lesquelles sont susceptibles d'entraîner une compromission et nécessitent une action immédiate, et lesquelles peuvent attendre.

Orca Security : augmente considérablement l'efficacité de votre équipe de sécurité

La plateforme de sécurité cloud d'Orca Security, spécialement conçue pour la sécurité, détecte les risques liés aux charges de travail et au cloud et utilise les observations de chaque côté pour identifier les risques de l'autre. Lorsqu'Orca détecte des vulnérabilités logicielles sur un hôte, plusieurs facteurs contextuels sont pris en compte :

• Accessibilité du réseau cloud
• Âge des vulnérabilités connues
• Chemins d'exploitation et plus.

Toutes les informations sont utilisées pour évaluer chaque alerte, réduisant ainsi les nombreuses alertes à quelques-unes importantes.

PagerDuty + Orca Security

Grâce à la plateforme complète de gestion des opérations numériques de PagerDuty, Orca Security permet aux équipes DevOps de développer et de publier rapidement des logiciels sans compromettre la sécurité. Grâce à la technologie SideScanning™ d'Orca Security, les équipes DevOps bénéficient d'une approche « zero-touch » de la sécurité cloud, offrant une visibilité et une couverture complètes. Orca Security identifie les risques au plus profond de vos charges de travail et à l'échelle de tous les services cloud que vous exploitez, et transmet ces alertes contextuelles à PagerDuty pour une visibilité unifiée et, in fine, des mesures correctives.

Avantages de l'intégration

• Avertissez les intervenants d'astreinte en fonction des alertes envoyées par Orca.
• Créez des alertes de gravité différente en fonction des résultats contextuels d'Orca.
• Les alertes dans PagerDuty seront résolues lorsque Orca constatera que le problème en question a été résolu dans le compte cloud concerné.

Comment ça marche

• Orca Security analyse en permanence vos charges de travail et votre configuration cloud. Tout risque identifié envoie un événement à un service de PagerDuty.
• Une fois le problème résolu et réalisé dans Orca, un événement de résolution sera envoyé au service PagerDuty pour résoudre l'alerte et l'incident associé sur ce service.
• Les alertes d'Orca Security déclencheront un nouvel incident sur le service PagerDuty correspondant.

Venez visionner la vidéo à la demande « La sécurité invisible à la vitesse du cloud » présentée par Patrick Pushor, évangéliste technique chez Orca Security, au PagerDuty Virtual Summit 2021. inscrivez-vous à l'événement pour voir la session à la demande !

Pour en savoir plus sur Orca Security et Intégration de PagerDuty , visitez https://www.pagerduty.com/integrations/orca-security/.