Die Cloud hat Innovation und Agilität für Unternehmen vorangetrieben, aber auch für Sicherheitsteams hat sie ein neues Maß an Komplexität in Bezug auf Menschen, Prozesse und Technologien mit sich gebracht. Die heutigen elastischen Cloud-Umgebungen haben neue Risiken mit sich gebracht, für die die Sicherheit Ansätze entwickeln muss. Kürzlich veranstaltete CxO ein Webinar und einen Roundtable für Sicherheitsverantwortliche mit dem Titel "Übernehmen Sie die Kontrolle über die Sicherheit Ihrer Cloud-Infrastruktur". Sicherheitsverantwortliche aus der ganzen Welt kamen zusammen, um ihre Ansätze für Cloud-Sicherheit zu diskutieren. Erfahren Sie mehr über die wichtigsten Erkenntnisse, die Anthony Belfiore, ehemaliger Chief Security Officer bei Aon, während der Sitzung teilte.
#1: Komplexität führt zu Herausforderungen bei der Aufrechterhaltung einer starken Cloud-Sicherheitslage
Ein roter Faden zog sich wie ein roter Faden durch die gesamte Diskussion, und Anthonys Erfahrungen waren die der Komplexität. Cloud-Umgebungen werden immer komplexer, da neue Technologien und Architekturen kontinuierlich von einer Vielzahl von Teams und Eigentümern, einschließlich Drittanbietern, eingeführt werden. Dadurch werden die Risiken in der Cloud von Tag zu Tag komplexer. Sicherheitsteams sind überfordert, wenn es darum geht, einen Überblick darüber zu erhalten, was da draußen ist und wem was gehört, und können es sich nicht leisten, die Komplexität selbst mit komplizierten Tools oder agentenbasierten Bereitstellungen zu erhöhen. Dies gilt für die Migration von On-Premise in die Cloud oder für den Umgang mit mehreren Cloud-Umgebungen.
Wir betrieben eine stark lokale, proprietäre Legacy-Anwendungsumgebung und wollten die Cloud nutzen... Eine Sache, die wir sehr schnell festgestellt haben, wenn man versucht, ältere On-Premise-Anwendungen in die Cloud zu portieren: Sie lassen sich nicht sehr gut portieren... Wenn man diese Dinge portiert, gehen manchmal Dinge in der Übersetzung verloren. Bestimmte Steuerelemente werden weggelassen. Bestimmte Konfigurationen lassen sich nicht effektiv zuordnen. Wie kann ich ein gewisses Maß an Komfort und Gewissheit erreichen, dass [diese Apps] in der Cloud gemäß den von uns definierten Sicherheitsanforderungen und -kriterien ausgeführt werden?
Ganz gleich, ob es um Migration, Compliance-Anforderungen oder das Schritt mit dem Tempo interner Innovationen geht, die Cloud-Sicherheitslage wird immer schwieriger. CISOs suchen nach Möglichkeiten, ihre Sicherheit zu vereinfachen und nach Möglichkeit Einblick in vielfältige und dynamische Cloud-Umgebungen zu erhalten.
Wiz wurde in 10-15 Minuten in drei Clouds für eine POC... 8 Minuten später erhielten wir ein vollständiges intuitives Bild mit kontextualisierter Ansicht eines Diagramms... Wir hatten noch nie ein Tool, das so schnell bereitgestellt wurde. Es nimmt nur die APIs auf, die es benötigt, um... Dies hat keinen Einfluss auf die Verfügbarkeit oder Stabilität Ihrer Infrastruktur. Wiz saugt alle Daten aus Ihrer Cloud auf und spuckt in wenigen Minuten ein vollständiges Bild der Cloud-Umgebung mit Lücken und Schwachstellen aus. Es'Das ist selbst für die Junior-Ingenieure im Team intuitiv offensichtlich.
#2: Es ist wichtig, eine Cloud-Validierungsfunktion zu haben
Zero Trust sollte für alle Sicherheitsbereiche gelten, auch für Ihre eigene Architektur. Das bedeutet, dass Sicherheitsteams in der Lage sein müssen, ihre Cloud-Umgebung ganzheitlich über Plattformen, Technologien und Risikoebenen hinweg zu validieren. Sicherheitsteams können Drittanbietern oder sogar ihren eigenen Topologiediagrammen nicht blind vertrauen. Sie müssen in der Lage sein, zu validieren und zu verifizieren, was tatsächlich in der Produktion passiert.
Wir haben Amazon und Azure implizit vertraut, aber das war ein Fehler. Man muss vertrauen, aber auch validieren; Ich muss überprüfen, ob in diesen Clouds alles so funktioniert, wie es soll. Unabhängig davon, ob Sie Drag & Drop verwenden, Legacy-Inhalte nachrüsten oder nativ in der Cloud erstellen, benötigen Sie eine Validierungsfunktion. Wiz war für AON diese Validierungsfähigkeit.
#3: Sicherheitsteams müssen ihre Zeit mit den dringendsten Problemen verbringen
Sicherheitsteams sind DevOps Dutzende zu eins zahlenmäßig unterlegen und sehen sich oft mit Zehntausenden von Warnungen in ihrer Umgebung konfrontiert. Sie können es sich nicht leisten, Zeit mit Warnungen mit niedriger Priorität zu verbringen oder ihren DevOps-Partnern hinterherzulaufen, um Probleme zu beheben, die nur geringe Auswirkungen haben. Sie müssen Wege finden, Probleme genau zu priorisieren, und sollten eine Vorliebe für Tools haben, die eine schnelle Wertschöpfung und einen verbesserten Sicherheits-ROI bieten.
Ich habe eine begrenzte Anzahl von Budgetzyklen und Zeit. Ich muss sie den drängendsten Themen zuordnen... Ich beschäftige mich seit 24 Jahren mit Sicherheit, und ich hatte noch nie ein Sicherheitstool, das schneller bereitgestellt wurde als Wiz, geschweige denn einen Mehrwert lieferte. Die durchschnittliche Time-to-Value betrug weniger als eine halbe Stunde. Das hat meine Jungs umgehauen. Als das Ingenieurteam mit der Anzeige zurückkam, dachten wir, sie würden uns anlügen. Die Ergebnisse schienen unmöglich. Ich war neidisch auf das, was Wiz tun konnte. Es war der Wahnsinn.
Abgesehen von der Time-to-Value und dem Sicherheits-ROI suchen Cloud-Sicherheitsteams mit begrenztem Sicherheitspersonal und begrenzten Ressourcen nach Möglichkeiten, andere Mitglieder des Sicherheitsteams und DevOps-Partner zu unterstützen. Je kollaborativer und zugänglicher Sie Ihre Sicherheitsuntersuchungen und -korrekturen gestalten können, desto mehr kann Ihr Team bewältigen.
Eine Sache, die an Wiz erfrischend ist, ist, dass aufgrund der Art und Weise, wie die Daten angezeigt werden, selbst ein Sicherheitsingenieur oder ein DevOps-Benutzer, der nicht über die Erfahrung verfügt, um zu verstehen, was er in der Cloud sieht, das Wesentliche dessen verstehen kann, was Wiz zeigt und wie es alles schmackhafter und intuitiver macht. Ich habe noch nie ein Tool gesehen, das etwas so Komplexes nimmt und es so einfach ausspuckt und im Grunde nach dem Motto "Korrigieren Sie es hier, schauen Sie hier, gehen Sie hierher, tun Sie das". Das ist wirklich das Wertversprechen. Nicht jeder wird Superstar-Cloud-Architekten mit all diesen Zertifizierungen im Team haben, daher ist es wirklich hilfreich, dieses Maß an Farbe zu haben, wenn Sie versuchen, diese Art von Problemen anzugehen.
#4: Agentenlose Tools sind die Welle der Zukunft
Mit der Vernetzung und Komplexität von Cloud-Umgebungen werden Sicherheitsansätze, die sich auf die Umgebung auswirken, immer unhaltbarer. Es ist schon schwierig, eine angemessene Abdeckung mit Agenten zu erhalten, ganz zu schweigen von den zusätzlichen Kosten in Bezug auf Komplexität und Ressourcennutzung. Unter den CISOs herrschte Einigkeit darüber, dass weniger mehr ist, wenn es um Security Agents geht.
Authentifizierte Scan-Tools können zu aufdringlich sein und auch negative Auswirkungen auf die Cloud-Infrastruktur haben. Der richtige Ansatz ist einer, der unaufdringlich ist und keine Auswirkungen auf die Cloud-Umgebung hat.
Sie benötigen keine authentifizierten Scans in der Cloud mit einem Tool wie Wiz. Das bedeutet, dass die Art und Weise, wie wir früher Dinge vor Ort gemacht haben, mit... eine dieser Scan-VM-Plattformen, das geht den Weg des Dodo. Das ist einer der Vorteile von Wiz. Wiz ist unaufdringlich. Es muss nicht auf Port- und Protokollebene mit Ihren Assets interagieren, sodass Sie nicht das Potenzial für ein Problem haben... Das ist das Schöne an Wiz; Es fällt völlig aus der Reihe, ist nicht invasiv, nicht hinterfragend und hat keinen Einfluss auf die Vermögenswerte in seiner Umgebung. Es saugt nur die Daten auf, die es basierend auf den nativen Cloud-APIs und Betriebsdaten sieht.
Überzeugen Sie sich selbst von der Diskussion
Wenn es um die Cloud geht, ist es eine nie endende Herausforderung, Wege zu finden, um die kritischsten Probleme als Sicherheitsteam anzugehen. Zunehmende Komplexität, der Bedarf an mehr Transparenz und Validierung sowie eine rücksichtslose Priorisierung sind wichtige Schwerpunkte für Sicherheitsteams in Unternehmen jeder Größe. Die Tafelrunde und die Geschichten von Anthony dienten als gute Erinnerung an diese Tatsachen. Sie können Anthony dabei zusehen, wie er seine Erkenntnisse und Erfahrungen selbst teilthier.
