Wiz
Tous les articlesDetection and Response

Qu’est-ce que la détection et la réponse dans le cloud (CDR)?

Greg Zemlin
CDR for DummiesWatch 5-min demo
L’essentiel à connaître sur la détection et la réponse dans le cloud (CDR):

  • La CDR surveille continuellement les environnements cloud pour détecter des activités anormales et des menaces telles que les mouvements latéraux, les malwares et les utilisations abusives des identités.

  • Les outils CDR offrent une visibilité en temps réel sur les machines virtuelles (VM), les conteneurs, les API, les identités et les services cloud, afin de détecter des menaces couvrant les workloads et le plan de contrôle.

  • La CDR met en corrélation des signaux provenant d’environnements multi-cloud et déclenche des actions de réponse automatisées ou guidées afin de réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR).

  • Une stratégie CDR robuste est essentielle pour sécuriser des infrastructures cloud dynamiques et éphémères que les outils EDR/NDR/XDR traditionnels ne parviennent pas à couvrir.

Qu’est-ce que la détection et la réponse dans le cloud ?

La CDR est une approche cloud-native permettant d’identifier, d’analyser et de traiter les menaces de sécurité au sein des workloads, des services et des infrastructures cloud.

Grâce à la détection et à l’analyse des menaces, la CDR fournit une visibilité approfondie sur des environnements cloud et multi-cloud complexes, des services, des API et sur tous types de workloads. Cela inclut notamment les VM, les conteneurs, le serverless, le réseau cloud, les nœuds de stockage, les clusters Kubernetes et bien plus encore.

La détection et la réponse dans le cloud (CDR) se concentrent spécifiquement sur les environnements cloud, ce qui la distingue des autres approches de détection et réponse. En effet, la CDR partage certaines fonctionnalités avec des solutions axées sur les workloads, telles que l’endpoint detection and response (EDR), le network detection and response (NDR) et l’extended detection and response (XDR).

Elle va toutefois bien au-delà, en proposant des capacités spécifiquement conçues pour le cloud.

Pourquoi avez-vous besoin d’une solution de détection et réponse dans le cloud ?

La CDR est indispensable, car les outils de sécurité traditionnels n’ont pas été conçus pour des actifs cloud éphémères, des couches d’identité dynamiques et la prolifération multi-cloud.

Sans CDR, les équipes SOC font face à des angles morts, à une surcharge d’alertes et à des réponses tardives face aux menaces réelles. Les mouvements latéraux, les identités mal configurées et les attaques inter-comptes figurent parmi les risques majeurs.

Les experts reconnus en sécurité savent que la complexité propre au cloud exige des solutions de détection et réponse spécifiques au cloud. Suite à un sondage sur la nécessité de la CDR, Anton Chuvakin, conseiller sécurité Google Cloud, a cité le commentaire suivant comme l’argument le plus fort en faveur de la CDR : « Le cloud public présente suffisamment de différences spécifiques en termes de déploiement et de collecte par rapport à l'on-premise pour qu'une fonction CDR soit indispensable. »

Bien qu’il ne manque pas d’outils de détection et de sécurité sur le marché, ceux-ci n'offrent pas la profondeur de visibilité nécessaire pour identifier et corriger les menaces de sécurité cloud dans vos environnements. En effet, les données de Wiz révèlent que 61 % des organisations ont des secrets exposés dans des dépôts publics. Cette menace, ainsi que celles apportées par l’innovation comme l’usage de l’IA, souligne l’importance d’une CDR moderne et cloud-native.

Secrets dans les dépôts: statistiques d’entreprises ayant au moins un dépôt privé contenant des secrets.

Réduction de la surcharge d’alertes

Les alertes cloisonnées peuvent être unifiées grâce à des comparaisons dans la détection de la charge de travail et l'activité cloud.

Les alertes en silo peuvent être regroupées en vues unifiées, avec des comparaisons entre la détection au niveau des workloads et l’activité cloud

Les alertes sont essentielles pour prioriser les menaces et orienter les efforts de remédiation. Toutefois, de nombreuses solutions génèrent un taux élevé de faux positifs ; les équipes SOC passent en moyenne 32 % de leur temps à enquêter et à valider de faux incidents.

Une solution CDR réduit la surcharge d’alertes en corrélant des signaux issus des logs cloud, des activités liées aux identités et des comportements en exécution. Ainsi, elle filtre les événements bénins et met en évidence les menaces exploitables. En outre, ces solutions analysent la gravité des alertes en fonction des données métier et des priorités des workloads, en offrant une transparence et une visibilité complètes sur des environnements cloud complexes. De cette manière, elles identifient proactivement les attaques par mouvement latéral grâce à un contexte de sécurité enrichi. Par exemple, plutôt que d’alerter sur chaque bucket S3 public, la CDR se concentre sur ceux qui stockent des données sensibles ou qui sont liés à des rôles IAM privilégiés.

Wiz named #1 in G2 Grid ® Report for CDR

En savoir plus

Analyse rapide des menaces et remédiation

L’analyse manuelle des menaces à travers les configurations cloud, les expositions réseau, les technologies de gestion des accès et d’autres aspects de l’architecture cloud est beaucoup trop chronophage. En effet, la CDR déclenche des actions automatiques telles que la mise en quarantaine de workloads, l’adaptation du contrôle d’accès réseau, la création de zones d’isolation pour les actifs et le réseau, ou encore l’utilisation d’images approuvées pour reconstruire des workloads.

Comment fonctionne la CDR ?

La CDR fonctionne en collectant des données de télémétrie provenant de sources cloud-native, notamment AWS CloudTrail, les logs d’audit Kubernetes et les événements d’exécution des VM. Ainsi, elle analyse ces données en temps réel pour identifier des comportements suspects tels qu’une élévation de privilèges, un trafic réseau inhabituel ou un mouvement latéral, puis déclenche automatiquement des réponses basées sur des politiques de sécurité.

Ces solutions sont soit avec agent (agents installés sur les workloads), soit agentless (approche d’analyse par snapshots) pour collecter des données depuis le stockage en mode bloc et récupérer les métadonnées de configuration cloud exposées via des API. En outre, une solution CDR efficace doit être capable de réaliser les actions suivantes :

  • Fournir une visibilité en temps réel à travers des environnements multi-cloud afin de sécuriser votre infrastructure. Une détection rapide et des recommandations de réponse priorisées vous aident à garder une longueur d’avance sur les menaces émergentes.

  • Révéler des chaînes d’exposition complexes et des chemins de mouvements latéraux visant des actifs à forte valeur, en l’occurrence des identités administrateur ou des données sensibles. Une interface unifiée, associée à une base en temps réel des changements cloud, permet d’identifier précisément des chemins exploitables inter-comptes et inter-cloud.

  • Simuler des expositions réseau potentielles grâce à une vue continuellement mise à jour de l’environnement cloud, permettant une validation de risque approfondie. Des éléments probants tels que le contenu des réponses et les codes de statut mettent ainsi en évidence des vecteurs d’attaque.

  • Superviser en continu l’activité cloud à l’aide de règles alimentées par une base de threat intelligence en constante évolution. Cela permet un scanning de malwares précis et une alerte à la fois personnalisée et fiable.

  • Répondre rapidement par un confinement automatisé ou en alertant les équipes de sécurité. Les événements de sécurité sont priorisés et collectés à grande échelle sur les workloads, y compris les VM, les conteneurs et les fonctions serverless. Cela couvre des vecteurs d’attaque tels que l’IAM, les API et d’autres surfaces spécifiques au cloud.

Exemple de catalogue d’actions de réponse offrant de la visibilité sur les fonctions de remédiation personnalisées définies par une organisation

La solution CDR idéale intègre ces aspects au sein d’une plateforme de sécurité cloud de bout en bout, adaptée à tout écosystème cloud.

Fonctionnalités à rechercher dans une solution de détection et réponse dans le cloud

Chaque entreprise dispose de sa stratégie cloud, de son écosystème et de ses priorités. Compte tenu de la nature dynamique des environnements cloud complexes, il devient indispensable de s’appuyer sur un outil CDR automatisé capable de répondre aux besoins actuels et futurs :

  • Supervision et détection en temps réel à l’échelle de tout l’écosystème cloud: la capacité à détecter des menaces connues/inconnues et des activités suspectes est essentielle.  Cela inclut l’exécution de code à distance, les malwares, le cryptomining, le mouvement latéral, l’élévation de privilèges et l’évasion de conteneur.

Un outil CDR doit collecter des événements et des alertes cloud via des intégrations avec des services tels qu’AWS CloudTrail, Azure Activity Logs et GCP Cloud Audit Logs.

  • Actions de réponse en temps réel: réagir et contenir rapidement des incidents en déclenchant des actions comme l’isolement des systèmes affectés, la suspension d’instances de calcul ou la désactivation de configurations risquées. Cela limite le rayon d’impact de la menace.

Exemple d’actions de réponse déclenchée en temps réel pour réduire et contenir le périmètre d’impact d’un incident.

  • Visibilité de bout en bout: obtenir une vision globale grâce à la corrélation de signaux en temps réel, de l’activité cloud et des logs d’audit. Cette visibilité permet de suivre les déplacements de l’attaquant dans le cloud et d’accélérer la réponse et la remédiation.

Exemple de visualisation montrant comment la CDR offre une visibilité de bout en bout sur un chemin d’attaque.

  • Détection prête à l’emploi pour les attaques récentes et les environnements complexes: choisir un outil capable de détecter des vulnérabilités sur l’ensemble des composants de l’architecture cloud, notamment les applications, serveurs, services réseau, environnements cloud en exécution, VM, architectures serverless, conteneurs, clusters Kubernetes et les API. Par ailleurs, des règles basées sur des heuristiques doivent fournir une identification transparente et cohérente des menaces.

Exemple de détection d’une tentative d’exfiltration de données.

  • Simulations d’attaquant analysant les points d’exposition externes: simuler des scénarios, par exemple sur les applications et les API depuis l’extérieur de l’environnement cloud, afin d’approfondir la compréhension du comportement d’un attaquant. Ces simulations permettent de valider l’état d’exposition des ports et des adresses IP en fonction des configurations réseau actuelles. Elles mettent également en évidence les mauvaises configurations d’API autorisant des requêtes non authentifiées ou l’exposition de secrets et de données sensibles.

Un outil CDR peut vous aider à comprendre le comportement d’un attaquant en analysant l’exposition externe des applications

  • Intégration avec vos outils, systèmes et environnements existants: une solution CDR neutre vis-à-vis des fournisseurs doit s’intégrer de manière transparente à tous les fournisseurs de services cloud et aux environnements multi-cloud, y compris aux systèmes, aux pipelines CI/CD et aux outils de sécurité de l’écosystème. Cela simplifie la collecte de données, réduit la complexité de l’infrastructure, assure la continuité et aide à maintenir une posture de sécurité cohérente, sans lacunes, à l’échelle de l’infrastructure.

Un outil CDR peut vous aider à comprendre le comportement d'un attaquant en analysant l'exposition externe des applications.

Une solution CDR est une fondation essentielle d’une stratégie de sécurité cloud complète. Elle doit constamment et facilement s’adapter à votre écosystème cloud unique et aux menaces en constante évolution.

Votre organisation peut-elle mener des investigations forensiques à grande échelle sur les workloads ?

Wiz désigné n° 1 du rapport G2 Grid® pour le CDR.

Mener des investigations forensiques dans le cloud à grande échelle est une entreprise considérable. Pourtant, une plateforme CDR solide rend cela possible en agrégeant les événements d’exécution, en enrichissant les alertes avec du contexte (par exemple : « Que faisait le conteneur ? ») et en maintenant la traçabilité au fil des sessions cloud.

Une solution CDR doit pouvoir s’adapter à des environnements cloud dynamiques, à de nouveaux vecteurs de menace et à des stratégies de sécurité en évolution.

C’est là que Wiz intervient. En effet, Wiz est une plateforme de sécurité cloud unifiée et cloud-native. Son scanning agentless et son ensemble d’outils full-stack détectent des menaces et des vulnérabilités au sein de votre environnement cloud.

Wiz fournit également des mesures de mitigation et de remédiation, accompagnées d’évaluations des risques priorisées. Ainsi, Wiz propose une solution CDR intuitive qui permet d’opérer des processus complexes et des investigations forensiques à grande échelle pour sécuriser votre environnement cloud.

Essayez la démo dès aujourd’hui pour voir comment Wiz peut améliorer votre détection et réponse dans le cloud.

FAQ sur la détection et la réponse dans le cloud (CDR)