vendredi, 29 mars 2024

9 questions à poser sur la sécurité de votre cloud

Pour que les professionnels de la cybersécurité acquièrent les connaissances dont ils ont besoin pour contrecarrer les pirates ciblant en permanence leurs installations et applications cloud, ils doivent penser comme le général George S. Patton (ou plutôt comme George C. Scott, l’acteur qui a remporté l’Oscar du meilleur acteur pour son interprétation de la base dans le film Patton de 1970).

Dans une première scène, la caméra vidéo se concentre sur un livre que Patton lit par l’allemand Général Erwin Rommel. Le but est de démontrer comment Patton ne s’appuie pas entièrement sur le renseignement militaire pour préparer la prochaine bataille. Il est proactif en découvrant autant qu’il le peut sur la façon dont son adversaire croit et court. La scène suivante montre les soldats de Patton lançant une attaque dévastatrice contre les chars et l’infanterie allemands. Regardant à travers ses jumelles, Patton sourit et crie « Rommel, tu es spectaculaire (malédiction), j’ai lu ton livre! »

Les responsables des services et de la sécurité doivent également être proactifs pour acquérir autant de connaissances que possible sur les motivations et les techniques des pirates. Ne vous fiez pas uniquement à ce que vos solutions de sécurité vous informent, car cela ne ferait que vous donner une complaisance incorrecte. Chaque jour, les pirates informatiques évitent les frontières de sécurité, traversent des frontières arbitraires et empêchent les services de sécurité d’accéder finalement aux informations qu’ils souhaitent sans être détectés.

Dans cette vidéo, Josh Stella, architecte en chef chez Snyk et PDG fondateur de Fugue, une société SaaS de sécurité cloud axée sur les développeurs, explique pourquoi les dirigeants doivent demander à leurs équipes de sécurité de leur fournir une compréhension de l’environnement de travail cloud et de le transmettre efficacement à d’autres dirigeants pour valider l’investissement financier de sécurité parmi toutes les équipes.

Vos adversaires ne vont probablement pas écrire des livres sur leurs méthodes pour que vous les étudiiez. Voici donc 9 préoccupations que tous les cadres supérieurs (CISO, CIO, PDG) doivent poser au sujet de leur sécurité cloud et dont leurs groupes de sécurité cloud doivent connaître les réponses à tout moment.

À quel point n’est-il pas conforme ? ‘est-ce que notre environnement cloud ?

Aucune organisation d’entreprise opérant dans le cloud ne dispose d’un environnement conforme à 100 % aux politiques de réglementation et de sécurité. Mais ceux qui s’occupent de la sécurité du cloud savent exactement où se trouve leur environnement et où il n’est pas conforme. Ils garantissent que les exceptions ne sont que cela – des exceptions à la règle – et ils ont en fait une préparation prioritaire pour tout mettre en conformité.

Vous devez savoir à tout moment où vous en êtes concernant la sécurité et la conformité de votre environnement cloud. Votre équipe de sécurité doit fréquemment revoir les politiques de sécurité internes de l’entreprise pour s’assurer qu’elles traitent efficacement vos cas d’utilisation et les vecteurs d’attaque émergents. Comprenez le processus que votre groupe utilise pour trouver une infrastructure cloud non conforme, la procédure de suppression mise en place et le temps nécessaire pour mettre un environnement en conformité.

Combien de vulnérabilités avons-nous identifiées et éliminées ?

Votre posture de sécurité dans le cloud n’est pas statique, et elle devrait s’améliorer avec le temps à mesure que votre groupe s’améliore dans la reconnaissance et la résolution des problèmes. Vous devez savoir combien de vulnérabilités de mauvaise configuration existent dans votre environnement et combien sont corrigées chaque jour.

Étant donné que cet effort comprend généralement beaucoup de travail manuel comprenant des outils de surveillance et des systèmes de billetterie, vous voudrez pour tirer parti de l’automatisation pour aider votre groupe à faire face à l’ampleur de la complexité impliquée dans les environnements cloud d’entreprise modernes. Traitez avec des professionnels de la sécurité cloud ayant une connaissance du domaine pour comprendre comment les violations importantes du cloud moderne se produisent et utilisez ces connaissances pour créer une politique en tant que code qui peut être utilisée pour inspecter instantanément si ces mêmes conditions existent dans l’infrastructure cloud de l’organisation. La stratégie en tant que code est conçue pour examiner d’autres codes et environnements d’exécution afin de détecter des conditions indésirables. Il permet à toutes les parties prenantes du cloud de fonctionner en toute sécurité sans obscurité ni discussion sur les règles et sur la manière de les appliquer aux deux extrémités du cycle de vie du développement logiciel.

Le nombre de vulnérabilités avons-nous empêché la publication ?

Savoir quelles vulnérabilités votre équipe de sécurité découvre et corrige dans votre environnement cloud n’est qu’une pièce du puzzle de sécurité holistique. Vous souhaitez également connaître les actions proactives requises par l’équipe de sécurité pour réduire la fréquence des erreurs de configuration lors du déploiement. Arrêter de travailler pour « aller à gauche » sur la sécurité du cloud garantit qu’il y aura une circulation continue des vulnérabilités du cloud dans votre environnement – et une équipe de sécurité jouant un jeu illimité de whack-a-mole.

Est-ce que votre équipe a-t-elle développé la sécurité en pipelines à combinaison constante et à expédition constante (CI/CD) ? Votre groupe examine-t-il les installations en tant que code (une méthode de création et de déploiement d’une infrastructure cloud par programme) pour rechercher et réparer les erreurs de configuration avant le déploiement, lorsque cela est plus rapide, plus facile et plus sécurisé ? Si les réponses ici sont « non », il se peut que des installations telles que le code et les pipelines CI/CD n’aient pas été adoptées. Si ceux-ci sont utilisés, il doit au moins y avoir un plan pour intégrer la sécurité dans ces procédures.

Sécurisons-nous l’avion de contrôle de l’API cloud ?

Toutes les violations du cloud suivent la même procédure motif : contrôle de l’avion compromis. Les interfaces utilisateur des programmes d’application (API) sont le principal moteur du cloud computing ; considérez-les comme des « intermédiaires d’applications logicielles » qui permettent à différentes applications d’interagir les unes avec les autres. L’avion de contrôle des API est l’ensemble des API utilisées pour configurer et exécuter le cloud.

Les pirates recherchent les erreurs de configuration. Malheureusement, le marché de la sécurité reste une action derrière les pirates en raison du fait que de nombreux services fournisseurs ne protègent pas leurs clients contre les attaques qui ciblent l’avion de contrôle du cloud. Honnêtement, la plupart d’entre eux se concentrent sur les cases à cocher qui permettent aux cadres supérieurs et aux équipes de sécurité de se sentir beaucoup mieux – jusqu’à ce qu’ils soient piratés. C’est un théâtre de sécurité qui n’est que trop répandu dans notre organisation.

Évaluer le rayon de souffle de toute occasion de pénétration possible en raison d’une mauvaise configuration, de vulnérabilités d’application, de type d’API dans le code source, etc., nécessite des compétences en architecture de sécurité cloud pour déterminer et éviter les défauts de conception que les assaillants exploitent au quotidien. La sécurité du cloud est liée à la compréhension, et des failles se produisent lorsque les protecteurs ne comprennent pas parfaitement leur environnement et cessent de travailler pour empêcher les agresseurs de découvrir cette compréhension.

À quel point la sécurité crée-t-elle une baisse des performances ?

Le cloud est une question de vitesse de développement, et la sécurité est le facteur limitant numéro un de la vitesse à laquelle les équipes peuvent aller et de l’efficacité du changement numérique. Les concepteurs d’applications attendent-ils les installations dont ils ont besoin pour se déployer ? Les équipes DevOps attendent-elles la sécurité pour examiner et autoriser leur infrastructure ? Vos ingénieurs cloud consacrent-ils de nombreuses heures à de longues tâches manuelles de sécurité et de conformité alors qu’ils pourraient être plus utiles pour votre entreprise et vos clients ?

Mesurer régulièrement le débit des développeurs et DevOps aidera à déterminer les retards dus à une sécurité insuffisante processus qui freinent la productivité – et les esprits.

Comment révélons-nous les politiques de sécurité ?

Il y a deux réponses à cette préoccupation : vos politiques de sécurité sont écrites en langage humain et examinés par des personnes, ou vous utilisez la politique comme code. Si la réponse est la précédente, vos environnements cloud ne peuvent pas être suffisamment sûrs et sécurisés. Il faut un certain temps pour évaluer manuellement les politiques et les imposer dans votre environnement à un moment où les violations de cloud ne prennent que quelques minutes. Et les dangers d’erreur humaine et de distinctions dans l’interprétation sont constamment présents.

Avec la politique comme code, les décideurs traduiront correctement une politique de la même manière à chaque fois en temps réel, ce qui signifie que vous pouvez toujours évaluer encore plus installations cloud que n’importe quelle armée d’humains pourrait jamais avoir l’intention de faire. Si l’application de la politique de sécurité doit changer d’une version à l’autre, vous pouvez exprimer ces exceptions sous forme de code afin que tout soit bien enregistré. Lorsque vous exécutez l’automatisation de la sécurité en utilisant la stratégie en tant que code, les problèmes peuvent être détectés et réparés lors du développement ou de la mise en œuvre, avant d’atteindre la production.

Avec quelle rapidité pouvons-nous réagir aux événements sans jour ?

La faille Log4j plus tôt cette année a envoyé des groupes de sécurité partout pour répondre. Ce type d’événements « absolument aucun jour » nécessite des groupes pour évaluer rapidement et avec précision où les vulnérabilités existent et leur intensité afin de prioriser votre action et votre effort de suppression. La réaction à de tels exploits d’applications en un jour nécessite que les équipes approfondissent plus qu’elles ne le font habituellement, car les vulnérabilités des applications sont généralement utilisées pour pénétrer l’environnement de l’infrastructure cloud et, en fin de compte, compromettre l’avion de contrôle du cloud.

Les équipes ne doivent pas seulement ont la capacité d’identifier rapidement les vulnérabilités des applications, mais également d’examiner le rayon d’explosion potentiel que chaque circonstance de la vulnérabilité fournit afin de désigner l’intensité et de hiérarchiser la correction de manière appropriée.

Tous les groupes ont-ils ce dont ils ont besoin pour réussir ? ?

Il n’y a pas de silos dans la sécurité d’entreprise moderne. La sécurité nécessite une approche intégrée qui traverse les équipes et les centres de dépenses, ce qui nécessite un leadership exécutif et un parrainage pour l’obtenir. Par exemple, une méthode de décalage vers la sécurité nécessite que les développeurs et les DevOps assument une certaine obligation de trouver et de réparer les problèmes précédemment dans le processus de vie du développement d’applications logicielles. Mais si l’investissement dans la sécurité ne reflète pas ces nouvelles priorités, il y aura des frictions qui mettront l’effort en péril.

Le succès de la sécurité dépend du parrainage de la direction avec des investissements financiers appropriés en termes de plan de dépenses et de temps.

A quoi ressemblera un échec ?

Au-delà des RSSI, je vois bien trop peu de cadres se poser véritablement cette question. Ce n’est pas difficile à imaginer – pensez à la violation du cloud qui a frappé Imperva, une importante société de produits de sécurité elle-même, qui a finalement entraîné la démission du PDG. Il y a la brèche de Capital One, toujours l’une des plus importantes à avoir jamais frappé une énorme institution financière. Et la brèche de Twitch plus tôt cette année, qui a touché non seulement Jerk mais également la société mère d’Amazon. Contrairement à la défaite du général Patton contre le général Rommel, il n’y aura pas de triomphes pour le magnat, simplement la mission constante d’empêcher l’échec.

La sécurité du cloud est une entreprise sans fin, comme rejoindre une salle de sport et s’efforcer d’utiliser régulièrement cette adhésion pour être et rester en forme. Vous devez mettre en œuvre une politique nécessitant des rapports cohérents sur la posture de sécurité cloud de votre entreprise. Vous ne voulez pas vous battre avec des questions sur ce qui est fait pour reconnaître et corriger les vulnérabilités, le nombre de vulnérabilités supprimées la semaine dernière ou le mois dernier, et où vous pourriez être exposé à une nouvelle vulnérabilité qui fait la une des journaux – vous voulez des réponses .

Josh Stella est architecte en chef chez Snyket une autorité technique sur la sécurité du cloud. Josh apporte 25 ans de compétences en informatique et en sécurité en tant que PDG fondateur de Fugue, architecte principal des services chez Amazon Web Services et conseiller auprès de la communauté américaine du renseignement. L’objectif individuel de Josh est d’aider les organisations à comprendre comment la configuration cloud est la toute nouvelle surface d’attaque et comment les entreprises doivent passer d’une posture protectrice à une posture préventive pour protéger leurs installations cloud. Il a composé le premier livre sur « Immutable Facilities » (publié par O’Reilly), détient de nombreux brevets sur les technologies de sécurité cloud et anime une série d’instructions Cloud Security Masterclass. Contactez Josh sur LinkedIn, et pour en savoir plus sur Fugue, une société SaaS de sécurité cloud axée sur les développeurs, visitez www.fugue. co, GitHub, LinkedIn, et Twitter .

— Nouveau

Le forum Tech Online offre un lieu pour explorer et discuter de l’innovation d’entreprise émergente dans profondeur et largeur inégalées. Le choix est subjectif, basé sur notre choix des innovations que notre société considère comme importantes et les plus intéressantes pour les lecteurs d’InfoWorld. InfoWorld décline la sécurité pour la publication et se réserve le droit de modifier tout le matériel fourni. Envoyez toutes les demandes à newtechforum@infoworld.com.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici