A nuvem impulsionou a inovação e a agilidade para as organizações, mas para as equipes de segurança também trouxe novos níveis de complexidade em torno de pessoas, processos e tecnologia. Os atuais ambientes elásticos na nuvem introduziram novos riscos aos quais a segurança deve desenvolver abordagens para resolver. Recentemente, a CxO organizou um webinar e uma mesa redonda executiva de segurança intitulada “Assuma o controle da segurança da sua infraestrutura na nuvem”. Executivos de segurança de todo o mundo se reuniram para discutir suas abordagens à segurança na nuvem. Saiba mais sobre as principais conclusões que Anthony Belfiore, ex-diretor de segurança da Aon, compartilhou durante a sessão.
#1: A complexidade impulsiona os desafios em torno da manutenção de uma forte postura de segurança na nuvem
Um tema comum ecoou ao longo da discussão, e as experiências de Anthony envolveram a complexidade. Os ambientes de nuvem estão cada vez mais complexos, com novas tecnologias e arquiteturas implantadas continuamente por uma ampla gama de equipes e proprietários, incluindo fornecedores terceirizados. Como resultado, os riscos na nuvem estão se tornando mais complexos a cada dia. As equipes de segurança estão sobrecarregadas tentando obter visibilidade sobre o que há e quem é responsável pelo quê, e não podem se dar ao luxo de adicionar mais complexidade à mistura com ferramentas complicadas ou implantações baseadas em agentes. Isso vale ao migrar do ambiente local para a nuvem ou lidar com vários ambientes de nuvem.
Estávamos executando um ambiente pesado de aplicações, próprio, no local e queríamos aproveitar a nuvem... Algo que percebemos muito rapidamente é que, quando você tenta portar aplicações legadas locais para a nuvem, elas não migram muito bem... Quando você faz a portabilidade disso, às vezes as coisas se perdem na tradução. Alguns controles se perdem. Certas configurações não são mapeadas de forma eficaz. Para mim, como eu poderia obter um nível de conforto e garantia de que [essas aplicações] estão operando na nuvem de acordo com os requisitos e critérios de segurança que definimos?
Seja lidando com migração, requisitos de conformidade ou acompanhando o ritmo da inovação interna, a postura de segurança na nuvem está se tornando cada vez mais desafiadora. Os CISOs estão procurando maneiras de simplificar sua segurança e obter visibilidade em ambientes de nuvem diversificados e dinâmicos sempre que possível.
O Wiz foi implantada em 10-15 minutos em três nuvens para um POC… 8 minutos depois, obtivemos uma imagem intuitiva completa com visão contextualizada em um gráfico… Nunca tivemos uma ferramenta implantada tão rapidamente. Ele apenas ingere as APIs de que precisa… Isso não afeta a disponibilidade ou a estabilidade de sua infraestrutura. O Wiz extrai todos os dados da sua nuvem e cria uma imagem completa do ambiente de nuvem com buracos e vulnerabilidades em minutos. Ele é intuitivamente óbvio até mesmo para os engenheiros mais novos da equipe.
#2: É importante ter uma capacidade de validação na nuvem
A confiança zero deve se aplicar a tudo em segurança, incluindo sua própria arquitetura. Isso significa que as equipes de segurança precisam ser capazes de validar seu ambiente de nuvem de forma holística em plataformas, tecnologias e camadas de risco. As equipes de segurança não podem confiar cegamente em provedores de terceiros ou até mesmo em seus próprios diagramas topológicos. Elas devem ser capazes de validar e verificar o que realmente está acontecendo na produção.
Estávamos confiando na Amazon e no Azure implicitamente, mas foi um erro. Você tem que confiar, mas validar. Tem que verificar se tudo está funcionando nessas nuvens como deveria. Seja arrastando e soltando, ou adaptando coisas legadas, ou construindo nativamente na nuvem, você precisa de um recurso de validação. O Wiz, para a AON, tem sido essa capacidade de validação.
#3: As equipes de segurança devem dedicar seu tempo com as questões mais urgentes
As equipes de segurança são superadas em número pelo DevOps na proporção de dezenas para um, e muitas vezes enfrentam dezenas de milhares de alertas em seu ambiente. Elas não podem se dar ao luxo de gastar tempo com alertas de baixa prioridade ou correndo atrás de seus parceiros de DevOps para corrigir problemas que têm baixo impacto. Elas precisam encontrar maneiras de priorizar com precisão os problemas e devem ter um viés em relação a ferramentas que proporcionem um tempo de valorização rápido e maior ROI de segurança.
Tenho uma quantidade limitada de ciclos orçamentários e tempo. Tenho que alocá-los nas questões mais urgentes... Atuo com segurança há 24 anos, e nunca tive uma ferramenta de segurança implantada mais rápido do que o Wiz, sem falar no retorno de valor. O tempo médio de valor foi inferior a meia hora. Isso surpreendeu minha equipe. Quando a equipe de engenharia voltou com os resultados, pensamos que eles estavam mentindo para nós. Os resultados pareciam impossíveis. Fiquei com inveja do que o Wiz era capaz de fazer. Foi uma loucura.
Além do tempo de valorização e do ROI de segurança, com pessoal e recursos de segurança limitados, as equipes de segurança na nuvem estão procurando maneiras de capacitar outros membros da equipe de segurança e parceiros de DevOps. Quanto mais colaborativas e acessíveis você puder tornar suas investigações de segurança e correção, maior será o volume com o qual sua equipe poderá lidar.
Uma coisa que tem sido positiva sobre o Wiz é que, por causa da maneira como ele exibe os dados, até mesmo um engenheiro de segurança ou um usuário de DevOps que não tem a experiência para entender o que eles estão olhando na nuvem pode obter a essência do que o Wiz mostra, bem como a maneira como torna tudo mais palatável e intuitivo. Nunca vi uma ferramenta que pega algo tão complexo e o retorna de forma tão simples, e é basicamente 'corrija aqui, olhe aqui, vá aqui, faça isso'. Esta é realmente a proposta de valor. Nem todo mundo vai ter arquitetos de nuvem com todas essas certificações na equipe, então realmente ajuda ter esse nível de detalhe quando você está tentando resolver esses tipos de problemas.
#4: Ferramentas sem agentes são a onda do futuro
Com a interconexão e a complexidade dos ambientes de nuvem, as abordagens de segurança que impactam o ambiente estão se tornando cada vez mais insustentáveis. Obter cobertura adequada com agentes já é difícil, sem falar nos custos adicionais em termos de complexidade e utilização de recursos. Houve um consenso geral entre os CISOs sobre a discussão de que menos é mais quando se trata de agentes de segurança.
As ferramentas de varredura autenticadas podem ser muito intrusivas e gerar impactos negativos na infraestrutura de nuvem, também. A abordagem certa é discreta e não causa impacto no ambiente de nuvem.
Você não precisa de varreduras autenticadas na nuvem com uma ferramenta como o Wiz. Isso significa que a maneira como costumávamos fazer as coisas no local com… qualquer uma dessas plataformas de varredura de VM, tudo isso corre perigo de extinção. Esse é um dos benefícios do Wiz. O Wiz é discreto. Ele não precisa interagir com seus ativos no nível de porta e protocolo, então você não tem o potencial de um problema… Essa é a beleza do Wiz; ele é totalmente fora de linha, não invasivo, não interrogativo e não impacta os ativos ao seu redor. Ele apenas extrai os dados que vê com base nas APIs nativas da nuvem e dados operacionais.
Veja a discussão
Quando se trata da nuvem, descobrir maneiras de lidar com os problemas mais críticos como uma equipe de segurança é um desafio interminável. O aumento da complexidade, a necessidade de mais visibilidade e validação e a priorização implacável são as principais áreas de foco para as equipes de segurança em empresas de todos os tamanhos. A mesa redonda e as histórias de Anthony serviram como bons lembretes desses fatos. Você mesmo pode assistir ao Anthony compartilhar seus aprendizados e experiências aqui.
