Basé sur l'intelligence d'exécution, l’outil de hiérarchisation des vulnérabilités Risk Spotlight lancé par le fournisseur de solutions de sécurité pour les conteneurs et le cloud Sysdig, doit permettre aux équipes de sécurité de hiérarchiser les mesures correctives, en particulier les vulnérabilités liées à la technologie des conteneurs, sans affecter le rythme du développement. En effet, quand ils travaillent avec des paquets open source, les développeurs introduisent souvent dans leur environnement logiciel des vulnérabilités associées qui ne méritent peut-être pas une attention immédiate si elles n'affectent pas les applications de production. Cependant, quand toutes ces vulnérabilités sont signalées par les systèmes de sécurité, la quantité des alertes augmente fortement et devient difficile à gérer. 

Les alertes sur les vulnérabilités générées par Risk Spotlight sont liées aux paquets utilisés au moment de leur exécution dans les logiciels de production et ne concernent que celles qui présentent un risque réel d'exploitation. « Sans contexte, les développeurs se retrouvent à faire défiler des centaines, voire des milliers, de vulnérabilités dans des feuilles de calcul pour essayer de déterminer quels correctifs sont importants », a expliqué Knox Anderson, vice-président des produits chez l’éditeur californien. « Grâce à son intelligence d'exécution, Sysdig Secure est capable d’identifier et de mettre en évidence les paquets exposés et les vulnérabilités ayant un impact sur ces paquets pour que les développeurs puissent les corriger immédiatement », a ajouté M. Anderson. 

Extension de la surface d'attaque

La technologie des conteneurs comme Docker - des paquets logiciels autonomes et légers - a apporté des améliorations majeures en termes de rapidité de déploiement et de mise à l'échelle des applications par les entreprises, mais elle a également augmenté le risque d'introduction de vulnérabilités dans leurs piles logicielles. Pour résoudre ce problème, un certain nombre d'outils de sécurité des conteneurs sont apparus sur le marché. Sauf que, les alertes générées par ces systèmes peuvent être écrasantes. « La trop grande fréquence des alertes sur les menaces de cybersécurité peuvent conduire à ce que l'on appelle la « fatigue des alertes », qui mobilise l’attention des équipes, entraînant des temps de réponse plus longs ou des alertes manquées. Cette fatigue peut engendrer un épuisement chez les analystes SOC », a expliqué Gary McAlum, analyste principal chez TAG Cyber. « Mais toutes les alertes ne sont pas équivalentes et beaucoup de faux positifs ou des problèmes de bas niveau peuvent masquer un événement potentiellement important qui nécessiterait une vraie enquête », a-t-il ajouté. Risk Spotlight sera accessible aux clients actuels de Sysdig Secure sans coût supplémentaire. Sysdig Secure fait partie du système d'analyse des conteneurs de l’éditeur proposé sous forme de plateforme unifiée offrant de la sécurité, de la surveillance et de l'analyse médico-légale dans une architecture adaptée aux conteneurs et aux microservices, intégrée à Docker et Kubernetes. 

Atténuer les risques tout en réduisant les alertes

Selon Sysdig, Risk Spotlight est une solution d'atténuation complète qui offre de multiples fonctionnalités de remédiation des vulnérabilités complémentaires : 

- Réduction du bruit des vulnérabilités : Risk Spotlight promet une réduction du bruit des alertes de 95 % grâce à ses capacités d’identification et d’élimination des vulnérabilités associées aux paquets non utilisés au moment de l'exécution.

- Gestion des risques à partir d’informations exploitables : Risk Spotlight fournit des détails sur les vulnérabilités, comme le vecteur CVSS (Common Vulnerability Scoring System) provenant de plusieurs sources, la version du correctif et tous les exploits disponibles, afin de gérer le risque de vulnérabilité à grande échelle.

- Gestion complète des vulnérabilités pour les conteneurs : Le logiciel offre une vue unique du risque de vulnérabilité tout au long du cycle de vie des conteneurs, de la construction à l'exécution. L'interface comprend également une vue des vulnérabilités axée sur les paquets, avec les corrections et les mises à niveau appropriées à mettre œuvre par les développeurs. 

Hiérarchiser les alertes

« L'intelligence de Sysdig fournit un filtre pour prioriser les vulnérabilités importantes que les développeurs doivent corriger immédiatement », a encore expliqué M. Knox. « Généralement, la solution arrive à faire chuter la liste des vulnérabilités de 60-95 % à une poignée de vulnérabilités facilement gérable, que les développeurs peuvent rapidement corriger sans ralentir le développement », a ajouté l’analyste de TAG Cyber. « La réduction des alertes inutiles sera sûrement bien accueillie pars les développeurs », selon M. McAlum. « Toute réduction significative des alertes de bas niveau ou faussement positives apporterait une aide considérable aux analystes de sécurité. Cependant, le volume restant de 5 % représente toujours un nombre important d'alertes qu’il faut encore trier, gérer ou résoudre dans certains cas. C'est là que Risk Spotlight peut apporter une aide considérable en hiérarchisant efficacement les alertes restantes en fonction du risque et en recommandant des mesures correctives », a encore déclaré Gary McAlum. « Cette fonctionnalité devrait aussi aider Sysdig à se différencier de ses concurrents », a-t-il estimé. « L'ajout de Risk Spotlight aux fonctionnalités déjà existantes va permettre à l’éditeur de fournir une vue unique du risque de vulnérabilité à travers le cycle de vie du développement, depuis la construction jusqu’à la mise en production, avec le support de capacités de remédiation améliorées », a encore déclaré l’analyste de TAG Cyber.