Le 48e IT Press Tour a eu l’occasion de rencontrer Suresh Vasudevan, PDG de Sysdig. Leur mission est d’accélérer et de sécuriser l’innovation cloud.
Falco est la norme open source pour la détection des menaces natives dans le cloud. Il surveille les événements système provenant du noyau et prend en charge les hôtes, les conteneurs et Fargate. Les solutions de sécurité de charge de travail basées sur Falco incluent Microsoft Defender for Cloud, StackRox, Sumo Logic, Giant Swarm et plusieurs autres.
Sysdig fournit une analyse et un dépannage approfondis des conteneurs. Avec Falco, ils fournissent une sécurité du cloud au conteneur, de la source à l’exécution, en identifiant les vulnérabilités logicielles, les menaces d’exécution, les risques de configuration et les lacunes en matière de conformité.
Les défis de la sécurité à l’échelle du cloud
Il y a quatre domaines critiques de préoccupation et les questions à poser :
- Gestion des vulnérabilités : comment réduire l’arriéré de vulnérabilités et gérer les risques sans submerger les développeurs ?
- Gestion des identités et des accès : qui a accès à quelles ressources et quelles autorisations sont réellement utilisées ?
- Gestion des configurations : comment inventorier les ressources cloud et s’assurer que les configurations sont sécurisées et conformes ?
- Détection des menaces et réponse : quels données et contexte sont essentiels pour détecter et répondre aux anomalies et incidents dans le cloud ?
Conformité à la sécurité de la chaîne d’approvisionnement
Sysdig assure la conformité de la sécurité de la chaîne d’approvisionnement à partir du code et est conçu pour fonctionner et répondre.
Ils le font via :
- Infrastructure en tant que validation de code pour prévenir les dérives et bloquer les configurations à risque.
- Gestion des vulnérabilités avec des pipelines CI/CD, des registres et des hôtes et une hiérarchisation basée sur les vulnérabilités en cours d’utilisation.
- Gestion de la configuration pour CPSM et la mauvaise configuration du cloud, ainsi que l’inventaire du cloud.
- Gestion des identités et des accès (IAM) pour le moindre privilège CIEM et la hiérarchisation basée sur les autorisations en cours d’utilisation.
- Détection des menaces pour les clouds et la sécurité d’exécution de la charge de travail.
- Réponse aux incidents pour capturer un enregistrement détaillé à des fins d’investigation et pour bloquer les conteneurs et les processus malveillants.
Les informations d’exécution améliorent la sécurité du décalage vers la gauche, permettant une correction à la source prioritaire avec une exposition en cours d’utilisation.
Recherche sur les menaces
Sysdig applique une approche multicouche à la recherche sur les menaces qui comprend des renseignements sur les menaces client et premium, une analyse active des référentiels publics, une recherche sur les vulnérabilités, des détections basées sur le comportement et des détections basées sur l’apprentissage automatique (ML).
Ils ont plus d’une douzaine d’experts en recherche sur les menaces et en ML qui recherchent des acteurs et des activités malveillants. De plus, ils analysent activement les référentiels publics pour les registres d’images de conteneurs, GitHub et le dark web tout en utilisant la technologie sandbox optimisée par Falco.
Ils ont créé un réseau de pots de miel multi-cloud et natif de conteneurs pour tous les principaux fournisseurs de cloud, dans des dizaines de régions, pour des centaines d’applications exposées à l’aide de l’investigation automatisée et de l’analyse de données volumineuses.
Ils recherchent en permanence les vulnérabilités de la technologie cloud native et fournissent une divulgation responsable. De plus, ils protègent les utilisateurs une fois qu’un comportement suspect est identifié grâce à des règles de détection prêtes à l’emploi.
L’apprentissage automatique est le meilleur moyen de traiter les détections spécifiques à un domaine comme les mineurs de bitcoins. Ils utilisent actuellement l’apprentissage automatique pour la détection précoce des crypto-mineurs avec une précision de 99 %. De plus, la télémétrie de l’activité des processus fournit le niveau de granularité requis pour la détection précise des comportements malveillants.
Donner la priorité à l’exposition aux risques en cours d’utilisation
Seulement 15 % des vulnérabilités sont utilisées au moment de l’exécution. En utilisant un filtre d’exposition aux risques en cours d’utilisation pour surveiller les vulnérabilités, les configurations, les autorisations et les connexions réseau Kubernetes, les utilisateurs peuvent identifier les principaux risques. Les utilisateurs peuvent gagner 1,5 heure par vulnérabilité en n’ayant pas à enquêter lorsque le package n’est pas utilisé.
La mise en lumière des risques élimine le bruit en identifiant les quelques vulnérabilités qui présentent un risque réel. Ce sont ceux liés aux packages actifs au moment de l’exécution. Cela réduit le bruit de vulnérabilité jusqu’à 95 %.
Cas d’utilisation client
Yahoo Japon compte plus de 40 000 nœuds de Kubernetes. Ils utilisent Sysdig pour l’analyse des vulnérabilités dans leur pipeline CI/CD et leurs environnements d’exécution, ainsi que pour détecter et empêcher la dérive et suivre la conformité.
UN processeur de paiement mondial utilise les clouds AWS et GCP. Ils utilisent Sysdig pour fournir une sécurité d’exécution Kubernetes et une détection des anomalies et des menaces en temps réel basée sur les journaux d’activité du cloud des utilisateurs.
Goldman Sachs compte plus de 140 000 nœuds Kubernetes et des milliers d’applications. Ils utilisent Sysdig pour fournir une détection et une réponse aux points de terminaison pour les machines virtuelles et les conteneurs Linux et extraire des données d’exécution critiques pour alimenter la détection des menaces et l’analyse de la sécurité.
FINRA compte plus de 3 000 tâches Fargate et hôtes EC2. Ils utilisent Sysdig pour l’analyse des pipelines et des images d’exécution, ainsi que la détection et la réponse aux menaces pour les applications basées sur Fargate.