Vai al contenuto principale

Risorse

Torna ai blog

Prospettive del settore

Con l'assenza di potere, arriva una maggiore responsabilità

19 maggio 2022

Di Rodman Ramezanian - Consulente per la sicurezza del cloud aziendale, Skyhigh Security

Molto probabilmente ha sentito la frase "Da un grande potere derivano grandi responsabilità". Alternativamente chiamata "Principio di Peter Parker", questa frase è diventata molto nota nella cultura popolare soprattutto grazie ai fumetti e ai film di Spider-Man - dove Peter Parker è il protagonista. La frase è così nota oggi che ha un proprio articolo su Wikipedia. Il succo della frase è che se è stato autorizzato a fare un cambiamento per il meglio, ha l'obbligo morale di farlo.

 

Tuttavia, quello che ho notato parlando con i clienti della sicurezza del cloud, in particolare della sicurezza dell'Infrastruttura come servizio (IaaS), è un fenomeno che ho soprannominato "Principio di John McClane" - il nome è stato cambiato per proteggere gli innocenti.

Il Principio di John McClane si verifica quando a qualcuno viene affidata la responsabilità di riparare qualcosa, ma allo stesso tempo non viene dato il potere di apportare le modifiche necessarie. In superficie, questo scenario può sembrare assurdo, ma scommetto che molti team InfoSec possono comprendere il problema. La conversazione si svolge più o meno così:

  • CEO a InfoSec: Deve assicurarsi che siamo sicuri nel cloud. Non voglio essere il prossimo [inserire qui l'ultima violazione].
  • InfoSec al CEO: Sì, ho esaminato il modo in cui stiamo utilizzando il cloud e la maggior parte dei nostri problemi deriva da una mancanza di processi e di conoscenze. Abbiamo una tonnellata di team che fanno le loro cose nel cloud, e io non ho una visibilità completa su ciò che stanno facendo.
  • CEO a InfoSec: Ottimo, vai a risolvere il problema.
  • InfoSec al CEO: Il problema è che non ho alcuna voce in capitolo su questi team. Possono fare quello che vogliono. Per risolvere il problema, dovranno cambiare il modo in cui utilizzano il cloud. Dobbiamo ottenere il consenso dei manager, ma questi mi hanno detto che non sono interessati a cambiare nulla perché rallenterebbe le cose.
  • CEO a InfoSec: Sono sicuro che troverete una soluzione. Buona fortuna, e sarà meglio non avere una violazione.

È in questi casi che vale il detto "da nessun potere derivano maggiori responsabilità".

E perché? Il motivo è che l'Infrastructure-as-a-Service (IaaS) ha cambiato radicalmente il modo in cui consumiamo l'IT e, di conseguenza, il modo in cui scaliamo la sicurezza. Non dobbiamo più presentare richieste di acquisto e seguire lunghi processi per attivare le risorse dell'infrastruttura. Ora chiunque abbia una carta di credito può avviare l'equivalente di un centro dati in pochi minuti in tutto il mondo.

L'agilità, tuttavia, ha introdotto alcuni cambiamenti involontari nell'InfoSec e, per poter scalare, la sicurezza del cloud non può essere l'unica responsabilità di un solo team. Piuttosto, la sicurezza del cloud deve essere incorporata nel processo e dipende dalla collaborazione tra sviluppo, architetti e operazioni. Questi team hanno ora un ruolo più significativo da svolgere nella sicurezza del cloud e in molti casi sono gli unici che possono implementare il cambiamento per migliorare la sicurezza. L'InfoSec ora agisce come sherpa invece che come guardiano, per assicurarsi che ogni team stia marciando allo stesso ritmo sicuro.

Tuttavia, come può dirle John McClane, il fatto che più team si occupino della sicurezza del cloud non significa necessariamente che la soluzione sia migliore. Infatti, il fatto di dover coordinare più team con priorità diverse può rendere la sicurezza ancora più complessa e rallentare l'attività. Da qui la necessità di una soluzione di sicurezza semplificata che faciliti la collaborazione tra sviluppatori, architetti e InfoSec, ma che allo stesso tempo fornisca dei guardrail, in modo che nulla sfugga.

Il nostro servizio di sicurezza nel cloud è stato creato appositamente per i clienti che si spostano e sviluppano applicazioni nel cloud. Lo chiamiamo Skyhigh Cloud-Native Application Protection Platform - o semplicemente Skyhigh CNAPP, perché ogni servizio merita un acronimo.

Che cos'è Skyhigh CNAPP? Skyhigh CNAPP combina le soluzioni di Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP) e Application Protection in un'unica soluzione. Abbiamo costruito CNAPP per fornire ai team InfoSec un'ampia visibilità sulle loro applicazioni native del cloud. Per noi, l'obiettivo non era come rallentare le cose per assicurarci che tutto sia sicuro; piuttosto come consentire ai team InfoSec la visibilità e il contesto di cui hanno bisogno per la sicurezza del cloud, permettendo al contempo ai team di sviluppo di muoversi rapidamente.

Vorrei descrivere brevemente le caratteristiche di Skyhigh CNAPP ed elencare alcune funzioni che sono le preferite dai clienti.

Gestione della postura dei servizi cloud (CSPM)

La stragrande maggioranza delle violazioni nell'IaaS oggi è dovuta a configurazioni errate del servizio. Nel 2016, Gartner ha affermato che "il 95% dei fallimenti della sicurezza del cloud sarà colpa del cliente". Nel 2019, Gartner ha aggiornato quella citazione per dire che "il 99% dei fallimenti della sicurezza del cloud sarà colpa dei clienti". Sto aspettando il giorno in cui Gartner dirà che "il 105% sarà colpa del cliente".

Perché la percentuale è così alta? Le ragioni sono molteplici, ma i nostri clienti ci dicono spesso che c'è un'enorme mancanza di conoscenza su come proteggere i nuovi servizi. Ogni fornitore di cloud sta rilasciando nuovi servizi e funzionalità a un ritmo vertiginoso, senza blocchi per l'adozione. Purtroppo, il settore non è riuscito ad avere una forza lavoro che conosca e comprenda il modo migliore per configurare questi nuovi servizi e funzionalità. Skyhigh CNAPP offre ai clienti la possibilità di verificare immediatamente tutti i servizi cloud e di confrontarli con le migliori pratiche di sicurezza e gli standard di settore come CIS Foundations, PCI, HIPPA e NIST.

Nell'ambito di questo audit (noi lo chiamiamo incidente di sicurezza), Skyhigh CNAPP fornisce informazioni dettagliate su come riconfigurare i servizi per migliorare la sicurezza, ma il servizio offre anche la possibilità di assegnare l'incidente di sicurezza ai team di sviluppo con accordi sul livello di servizio (SLA), in modo che non ci siano ambiguità su chi possiede cosa e cosa deve cambiare. Tutti questi flussi di lavoro possono essere automatizzati, in modo che più team siano in grado di trovare e risolvere i problemi in tempo quasi reale.

Inoltre, Skyhigh CNAPP dispone di una funzione di criteri personalizzati in cui i clienti possono creare criteri per identificare le configurazioni errate rischiose uniche per i loro ambienti, nonché integrazioni con strumenti per sviluppatori come Jenkins, Bitbucket e GitHub, che forniscono feedback sulle distribuzioni che non soddisfano gli standard di sicurezza.

Piattaforma di protezione del carico di lavoro del cloud

Le piattaforme IaaS sono diventate catalizzatrici di software open source (OSS) come Linux (OS), Docker (container) e Kubernetes (orchestrazione). La sfida nell'utilizzo di questi strumenti è il rischio intrinseco di vulnerabilità ed esposizioni comuni (CVE) trovate nelle librerie software e di configurazioni errate nella distribuzione di nuovi servizi. Un'altra famosa citazione di Gartner è che "il 70% degli attacchi contro i container proverrà da vulnerabilità note e configurazioni errate che avrebbero potuto essere corrette". Ma come fa il team InfoSec a individuare rapidamente queste vulnerabilità e configurazioni errate, soprattutto in ambienti effimeri con più team di sviluppatori che spingono frequenti rilasci nelle pipeline CI/CD?

Skyhigh CNAPP offre una protezione completa del carico di lavoro, identificando tutte le istanze di calcolo, i container e i servizi di container in esecuzione in IaaS, identificando al contempo le CVE critiche, le configurazioni errate nei servizi di container sia di repository che di produzione e introducendo alcune nuove funzionalità di protezione. Queste funzioni includono l'elenco delle applicazioni consentite, l'indurimento del sistema operativo e il monitoraggio dell'integrità dei file, con l'intenzione di introdurre presto la nano-segmentazione e il supporto on-premise.

I preferiti dei clienti

  • Scansioni DLP in-tenant: molti dei nostri clienti hanno casi d'uso legittimi per i servizi di cloud storage esposti pubblicamente (a volte indicati come bucket), ma allo stesso tempo devono assicurarsi che questi bucket non contengano dati sensibili. La sfida di utilizzare la DLP per questi servizi è che molte soluzioni disponibili sul mercato copiano i dati nell'ambiente del fornitore. Questo aumenta i costi del cliente con le tariffe di uscita e introduce anche problemi di sicurezza con il transito dei dati. CNAPP consente ai clienti di eseguire scansioni DLP in-tenant, dove i dati non lasciano mai l'ambiente IaaS, rendendo il processo più sicuro e meno costoso.
  • MITRE ATT&CK Framework for Cloud: il linguaggio dei Security Operation Center (SOC) è MITRE, ma ci sono molte sfumature nel modo in cui gli incidenti di sicurezza del cloud si inseriscono in questo quadro. Con Skyhigh CNAPP abbiamo costruito un processo end-to-end che mappa tutti gli incidenti di sicurezza CSPM e CWPP in MITRE. Ora i team InfoSec e di sviluppatori possono collaborare in modo più efficace grazie alla categorizzazione automatica di ogni incidente cloud in MITRE, facilitando risposte più rapide e una migliore collaborazione.
  • Sicurezza delle applicazioni unificata: CNAPP è costruito sulla stessa piattaforma del nostro servizio MVISION Cloud, un Leader Gartner Magic Quadrant per Cloud Access Security Broker (CASB). I clienti sono ora in grado di ottenere una visibilità dettagliata e un controllo della sicurezza sulle loro applicazioni SaaS e sulle applicazioni che stanno costruendo in IaaS con la stessa soluzione. I nostri clienti amano avere un'unica console che fornisce un quadro olistico del rischio delle applicazioni in tutti i team: SaaS per i consumatori e IaaS per i costruttori.

Ci sono molte altre caratteristiche che mi piacerebbe evidenziare, ma la invito a verificare di persona la soluzione. Visiti https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html per maggiori informazioni sulla nostra release o richieda una demo a https://www.skyhighsecurity.com/forms/demo-request-form.html. Saremo lieti di ricevere il suo feedback e di sapere come Skyhigh CNAPP può aiutarla a diventare più responsabile nel cloud.

Torna ai blog

Contenuti correlati

Miniatura delle notizie
Intelligence Digest

La vulnerabilità apre la porta alle minacce zero-day e alle violazioni dei dati - Skyhigh Security Intelligence Digest

Rodman Ramezanian - 29 aprile 2024

Miniatura delle notizie
Prospettive del settore

Skyhigh Security: Ridefinire ciò che è possibile alla Conferenza RSA

Thyaga Vasudevan - 25 aprile 2024

Miniatura delle notizie
Sicurezza del cloud

Protegga i suoi dati sensibili - indipendentemente da dove risiedano

Lolita Chandra - 9 aprile 2024

Blog recenti

Intelligence Digest

La vulnerabilità apre la porta alle minacce zero-day e alle violazioni dei dati - Skyhigh Security Intelligence Digest

Rodman Ramezanian - 29 aprile 2024

Prospettive del settore

Skyhigh Security: Ridefinire ciò che è possibile alla Conferenza RSA

Thyaga Vasudevan - 25 aprile 2024

Sicurezza del cloud

Protegga i suoi dati sensibili - indipendentemente da dove risiedano

Lolita Chandra - 9 aprile 2024

Prospettive del settore

Skyhigh Security Si conclude l'evento di vendita regionale con il supporto dei partner

Jeff Tripp - 25 marzo 2024

Prospettive del settore

2024 Attacchi ransomware alla sanità: Un campanello d'allarme per la sicurezza dei dati sanitari

Hari Prasad Mariswamy - 18 marzo 2024