Bien connu pour ses moteurs de supervision (Sysdig) et de sécurité (Falco) des applications conteneurisées, Sysdig a intégré la détection et la réponse cloud (Cloud Detection and Response, CDR) à sa plateforme de protection des applications cloud natives (Cloud-native Application Protection Platform, CNAPP). Cette consolidation, première du genre selon l’entreprise, permet à sa plateforme CNAPP de détecter les menaces avec une visibilité à 360 degrés et une corrélation entre les charges de travail, les identités, les services cloud et les applications tierces. « La plateforme s'appuie sur Falco, un moteur open source largement adopté pour la détection des menaces dans le cloud, régi par la Cloud Native Computing Foundation (CNCF), dans les modèles de déploiement avec et sans agent », a déclaré Sysdig. À mesure que l'adoption du cloud se développe et que les entreprises mettent en place des environnements cloud, elles sont confrontées à une prolifération d'applications, de services et d'identités. La détection et la réponse rapide aux menaces dans ces environnements peuvent représenter un défi de taille pour les entreprises et leurs équipes de sécurité, car de grosses quantités d'actifs dans le cloud sont potentiellement vulnérables et ne sont pas contrôlés pendant de longues périodes.

Selon le rapport de l’Unité 42, « Unit 42 Cloud Threat Report, Volume 7 », il faut en moyenne 145 heures aux équipes de sécurité pour résoudre les alertes, 80 % des alertes dans le cloud étant déclenchées par seulement 5 % des règles de sécurité dans la plupart des environnements. Par ailleurs, les vulnérabilités non corrigées constituent une menace importante pour la sécurité des entreprises, exacerbée par les logiciels libres (Open Source Software, OSS) et l'ampleur des tâches à gérer dans les environnements cloud. Près des deux tiers (63 %) des référentiels de code source dans le cloud analysés par l'Unité 42 présentent des vulnérabilités élevées ou critiques, dont 51 % datent d'au moins deux ans. Parmi les services orientés Internet hébergés dans les clouds publics, 11 % présentent des vulnérabilités élevées ou critiques, dont 71 % datent d'au moins deux ans.

Déploiement sans agent de Falco et détection des vulnérabilités de GitHub

« Les fonctionnalités de détection et de réponse aux menaces ajoutées au CNAPP confèrent plusieurs avantages aux clients de Sysdig », a déclaré l’entreprise dans un communiqué. « Auparavant, pour tirer parti de Falco, les entreprises devaient le déployer sur leur infrastructure, mais désormais, elles peuvent accéder à un déploiement sans agent de Falco quand elles traitent les logs du cloud pour détecter les menaces à travers le cloud, l'identité et la chaîne d'approvisionnement des logiciels », a encore déclaré Sysdig. De plus, grâce aux nouvelles détections de Sysdig Okta, les équipes de sécurité peuvent mieux se protéger contre les risques liés à l'identité, par exemple la fatigue de l'authentification multi-facteurs ou fatigue MFA du fait d’une surcharge de notifications ou d'invitations résultant du spamming et les tentatives de prise de contrôle des comptes. « Par ailleurs, les nouvelles détections de GitHub permettent aux développeurs et aux équipes de sécurité d'être alertés en temps réel des événements critiques, comme l'insertion d'un secret dans un dépôt », a encore déclaré l’éditeur. « Du point de vue de la réponse, les clients peuvent utiliser Sysdig Live pour visualiser leur infrastructure et leurs charges de travail, ainsi que les relations entre elles, afin d'accélérer la réponse aux incidents, tandis que Sysdig Process Tree dévoile les parcours d'attaque, y compris la filiation des processus, les informations sur les conteneurs et les hôtes, les détails de l'utilisateur malveillant et l'impact », a précisé le fournisseur. « Les tableaux de bord des menaces fournissent une vue centralisée des problèmes de sécurité critiques, mettant en lumière les événements à travers les clouds, les conteneurs, Kubernetes et les hôtes pour permettre la priorisation des menaces en temps réel », selon Sysdig. « La cartographie du framework MITRE aide également les équipes de sécurité à savoir ce qui se passe dans les environnements natifs du cloud », a ajouté l'entreprise.

Le grand défi d’une détection et d’une réponse efficaces dans le cloud

Sean Heide, directeur de la recherche technique de la Cloud Security Alliance (CSA), explique que la détection et la réponse efficaces aux menaces dans le cloud constituent un défi de taille pour les entreprises qui opèrent dans divers environnements cloud, et ce, pour diverses raisons qui vont de la complexité du multi-cloud, de la visibilité et du contrôle, à une expertise insuffisante en matière de sécurité. « Dans les environnements multi-cloud, les entreprises utilisent plusieurs services cloud de différents fournisseurs, chacun avec son propre ensemble de contrôles de sécurité et d'outils de gestion. Il en résulte un paysage de sécurité complexe où les menaces peuvent être difficiles à détecter », a ajouté M. Heide. « Souvent, les entreprises ne disposent pas d'une visibilité complète sur toutes leurs ressources cloud, ce qui complique la détection des menaces et la réaction en temps opportun », a encore déclaré M. Heide. « Cela peut s'avérer encore plus difficile dans des environnements cloud diversifiés où les différents systèmes ne s'intègrent pas toujours bien les uns aux autres, créant des angles morts », a aussi déclaré le directeur de la recherche technique de la Cloud Security Alliance. Beaucoup d’entreprises n’ont pas non plus l'expertise nécessaire pour gérer efficacement la sécurité du cloud, et ce défi est encore plus grand dans les environnements cloud diversifiés où les différents systèmes ont des besoins uniques en matière de sécurité. « Par exemple, la sécurisation d'un environnement Amazon Web Services (AWS) requiert des compétences et des connaissances différentes de celles d'un environnement Google Cloud Platform (GCP) », a expliqué M. Heide. 

La détection et la réponse aux menaces, partie intégrante de la sécurité cloud moderne

« Pour tout ce qui concerne la sécurité du cloud, tout produit visant à être un « guichet unique » doit être capable de gérer les workflows de détection et de réponse », a expliqué Fernando Montenegro, analyste principal chez Omdia. « Ce domaine met en évidence l'évolution nuancée de la sécurité du cloud au sein des entreprises. Certaines se tourneront vers le CNAPP pour résoudre tous les problèmes liés au cloud, tandis que d'autres prendront leurs pratiques existantes en matière de sécurité (qu'il s'agisse de la sécurité du réseau ou de la gestion des identités) et les étendront au cloud. Il n'y a pas une seule bonne réponse, car cela dépend vraiment de la façon dont l’entreprise se structure », a ajouté l’analyste.