Le cloud a stimulé l’innovation et l’agilité pour les entreprises, mais pour les équipes de sécurité, il a également apporté de nouveaux niveaux de complexité autour des personnes, des processus et de la technologie. Les environnements cloud élastiques d’aujourd’hui ont introduit de nouveaux risques pour lesquels la sécurité doit développer des approches. Récemment, CxO a organisé un webinaire et une table ronde sur la sécurité intitulée « Prenez le contrôle de la sécurité de votre infrastructure cloud ». Des responsables de la sécurité du monde entier se sont réunis pour discuter de leurs approches en matière de sécurité du cloud. Découvrez les principaux points à retenir qu’Anthony Belfiore, ancien chef de la sécurité chez Aon, a partagés au cours de la session.
#1 : La complexité entraîne des défis liés au maintien d’une posture de sécurité cloud solide
Un thème commun a été abordé tout au long de la discussion et les expériences d’Anthony en étaient un de complexité. Les environnements cloud sont de plus en plus complexes, avec de nouvelles technologies et architectures déployées en permanence par un large éventail d’équipes et de propriétaires, y compris des fournisseurs tiers. Par conséquent, les risques dans le cloud deviennent de plus en plus complexes chaque jour. Les équipes de sécurité sont débordées pour essayer d’obtenir une visibilité sur ce qui existe et qui possède quoi, et ne peuvent pas se permettre d’ajouter elles-mêmes plus de complexité à l’ensemble avec des outils compliqués ou des déploiements basés sur des agents. Cela est vrai lors de la migration d’un environnement sur site vers le cloud ou de la gestion de plusieurs environnements cloud.
Nous utilisions un environnement d’applications lourdement sur site, propriétaire et hérité et nous voulions tirer parti du cloud... Une chose que nous avons réalisée très rapidement, lorsque vous essayez de porter des applications existantes sur site vers le cloud : elles ne se portent pas très bien... Lorsque vous portez ces éléments, il arrive que des éléments soient perdus dans la traduction. Certaines commandes sont supprimées. Certaines configurations ne sont pas mappées efficacement. En ce qui me concerne, comment pourrais-je obtenir un niveau de confort et d’assurance que [ces applications] fonctionnent dans le cloud conformément aux exigences et aux critères de sécurité que nous avons définis ?
Qu’il s’agisse de la migration, des exigences de conformité ou du rythme de l’innovation interne, la posture de sécurité du cloud devient de plus en plus difficile. Les RSSI cherchent des moyens de simplifier leur sécurité et d’obtenir une visibilité sur des environnements cloud diversifiés et dynamiques dans la mesure du possible.
Wiz s’est déployé en 10 à 15 minutes sur trois clouds pour un POC... 8 minutes plus tard, nous avons eu une image intuitive complète avec une vue contextualisée sur un graphique... Nous n’avons jamais eu un outil déployé aussi rapidement. Il se contente d’ingérer les API dont il a besoin... Cela n’a pas d’impact sur la disponibilité ou la stabilité de votre infrastructure. Wiz aspire toutes les données de votre cloud et crache une image complète de l’environnement cloud avec des failles et des vulnérabilités en quelques minutes. Il'Intuitivement, même pour les ingénieurs les plus juniors de l’équipe.
#2 : Il est important de disposer d’une capacité de validation dans le cloud
Le Zero Trust doit s’appliquer à tout ce qui concerne la sécurité, y compris votre propre architecture. Cela signifie que les équipes de sécurité doivent être en mesure de valider leur environnement cloud de manière holistique sur l’ensemble des plateformes, des technologies et des couches de risque. Les équipes de sécurité ne peuvent pas faire aveuglément confiance aux fournisseurs tiers, ni même à leurs propres diagrammes de topologie. Ils doivent être en mesure de valider et de vérifier ce qui se passe réellement en production.
Nous faisions implicitement confiance à Amazon et Azure, mais c’était une erreur. Vous devez faire confiance mais valider ; Je dois vérifier que tout fonctionne dans les clouds comme il se doit. Qu’il s’agisse d’un glisser-déposer, d’une mise à niveau d’éléments hérités ou d’une création native dans le cloud, vous avez besoin d’une capacité de validation. Wiz, pour AON, a été cette capacité de validation.
#3 : Les équipes de sécurité doivent consacrer leur temps aux problèmes les plus urgents
Les équipes de sécurité sont dépassées en nombre par DevOps par dizaines contre un, et sont souvent confrontées à des dizaines de milliers d’alertes dans leur environnement. Ils ne peuvent pas se permettre de passer du temps sur des alertes de faible priorité ou à courir après leurs partenaires DevOps pour résoudre des problèmes qui ont un faible impact. Ils doivent trouver des moyens de hiérarchiser les problèmes avec précision et doivent privilégier les outils qui permettent un retour sur investissement rapide et un meilleur retour sur investissement en matière de sécurité.
J’ai un nombre limité de cycles budgétaires et de temps. Je dois les répartir sur les questions les plus urgentes... Je fais de la sécurité depuis 24 ans, et je n’ai jamais eu d’outil de sécurité qui se déploie aussi rapidement que Wiz, et encore moins qui renvoie de la valeur. Le délai moyen de rentabilisation était inférieur à une demi-heure. Ça a époustouflé mes gars. Lorsque l’équipe d’ingénieurs est revenue avec le résultat, nous avons pensé qu’ils nous mentaient. Les résultats semblaient impossibles. J’étais jaloux de ce que Wiz pouvait faire. C’était insensé.
Au-delà du délai de rentabilisation et du retour sur investissement de la sécurité, avec un personnel et des ressources de sécurité limités, les équipes de sécurité du cloud cherchent des moyens d’autonomiser les autres membres de l’équipe de sécurité et les partenaires DevOps. Plus vos enquêtes et mesures correctives de sécurité seront collaboratives et accessibles, plus votre équipe pourra en gérer d’autres.
Une chose qui a été rafraîchissante à propos de Wiz est qu’en raison de la façon dont il affiche les données, même un ingénieur en sécurité ou un utilisateur DevOps qui n’a pas l’expérience nécessaire pour comprendre ce qu’il regarde dans le cloud peut comprendre l’essentiel de ce que Wiz montre et la façon dont il rend tout plus acceptable et intuitif. Je n’ai jamais vu un outil qui prend quelque chose d’aussi complexe et le recrache si simplement et qui est essentiellement du genre « appliquez un correctif ici, regardez ici, allez ici, faites ceci ». C’est vraiment la proposition de valeur. Tout le monde n’aura pas d’architectes cloud superstars avec toutes ces certifications dans l’équipe, il est donc vraiment utile d’avoir ce niveau de couleur lorsque vous essayez de résoudre ce type de problèmes.
#4 : Les outils sans agent sont la vague de l’avenir
Avec l’interconnexion et la complexité des environnements cloud, les approches de sécurité qui ont un impact sur l’environnement deviennent de plus en plus intenables. Il est déjà difficile d’obtenir une couverture adéquate auprès des agents, sans parler des coûts supplémentaires en termes de complexité et d’utilisation des ressources. Les RSSI étaient généralement d’accord sur le fait qu’il y avait moins c’est plus lorsqu’il s’agissait d’agents de sécurité.
Les outils d’analyse authentifiés peuvent être trop intrusifs et avoir des répercussions négatives sur l’infrastructure cloud. La bonne approche est celle qui est discrète et qui n’a aucun impact sur l’environnement cloud.
Vous n’avez pas besoin de scans authentifiés dans le cloud avec un outil comme Wiz. Ce que cela signifie, c’est que la façon dont nous avions l’habitude de faire les choses sur site avec... n’importe laquelle de ces plates-formes de machines virtuelles d’analyse, cela va dans le sens du dodo. C’est l’un des avantages de Wiz. Wiz est discret. Il n’a pas besoin d’interagir avec vos actifs au niveau du port et du protocole, vous n’avez donc pas de risque de problème... C’est ce qui fait la beauté de Wiz ; C’est totalement hors ligne, non invasif, non interrogatif et n’a pas d’impact sur les actifs qui l’entourent. Il se contente d’aspirer les données qu’il voit en fonction des API cloud natives et des données opérationnelles.
Voyez la discussion par vous-même
Lorsqu’il s’agit du cloud, trouver des moyens de résoudre les problèmes les plus critiques en tant qu’équipe de sécurité est un défi sans fin. La complexité croissante, le besoin de plus de visibilité et de validation, ainsi que la hiérarchisation impitoyable sont autant de domaines d’intérêt clés pour les équipes de sécurité des entreprises de toutes tailles. La table ronde et les histoires d’Anthony ont toutes servi de bons rappels de ces faits. Vous pouvez regarder Anthony partager ses apprentissages et ses expériences vous-mêmeici.
