Toutes les vulnérabilités ne se valent pas
Et si vous pouviez mieux comprendre les risques de votre environnement en contexte afin de prioriser les correctifs ?
Gestion des vulnérabilités avec priorisation basée sur les risques
Bénéficiez d’une surveillance continue des vulnérabilités qui menacent le plus votre environnement cloud.
Corrigez vos vulnérabilités les plus critiques avant qu’il ne soit trop tard
Votre liste de vulnérabilités à corriger ne cesse de s’allonger ? Limitez votre surface d’attaque grâce à une solution de gestion des vulnérabilités qui vous permet de cibler les menaces critiques dès le début du cycle de développement.
Les analyses régulières ne suffisent pas
Et si vous possédiez une politique cohérente en matière de gestion des vulnérabilités du cloud, qui s’applique à l’ensemble du pipeline de développement et vous assure une visibilité totale ?
Il est trop tard pour corriger les problèmes en production
Et si vous pouviez identifier et corriger les vulnérabilités lors du build pour réduire vos dépenses et gagner en productivité ?
Gestion des vulnérabilités en continu
Nous faisons apparaître vos vulnérabilités plus tôt et vous aidons à mieux les hiérarchiser, ce qui vous donne plus de liberté pour développer, construire et innover.
-
D’un suivi ponctuel à une surveillance continue
Surveillez activement les vecteurs d’attaque en évaluant continuellement les images de containers, les hôtes et les bibliothèques de langages à la recherche de nouvelles vulnérabilités.
-
De listes sans fin à une hiérarchisation des priorités
Déterminez quelles sont les vulnérabilités qui présentent les risques les plus importants dans votre environnement afin de les corriger.
-
D’une perte de temps à un gain d’efficacité
Allégez le travail en production et corrigez les problèmes au moment du développement en permettant aux développeurs d’accéder plus facilement aux données sur les vulnérabilités.
Gérer les vulnérabilités, de la conception à l’exécution
En corrélant les données relatives à l’exécution et aux risques, nous vous aidons à identifier et à corriger plus rapidement les vulnérabilités les plus sérieuses.
Collecter plus de données, avec et sans agents
- Obtenez une visibilité immédiate des risques de vulnérabilité dans vos workloads actifs sur le cloud.
- Analysez et détectez les vulnérabilités des hôtes actifs, des containers et des bibliothèques de langages d’applications sur AWS à l’aide de la fonctionnalité d’analyse des workloads sans agent.
- Combinez l’analyse des workloads sans agent avec des agents facilement exploitables pour une analyse plus approfondie, une surveillance continue des workloads et une détection des anomalies basée sur le comportement.
En savoir plus sur la collecte de données avec ou sans agent
Donner la priorité à votre environnement
- Identifiez les risques connus publiquement sur les paquets de systèmes d’exploitation et les bibliothèques de langages grâce à notre système combinant des sources de données publiques et commerciales sur les vulnérabilités.
- Priorisez les risques les plus exploitables avec le polygraphe d’exposition. Visualisez le chemin d’attaque potentiel depuis l’internet jusqu’à l’instance EC2. Nous établissons un lien entre plusieurs vecteurs d’attaque, notamment les vulnérabilités, l’accessibilité du réseau, les secrets exposés et les rôles IAM.
- Analysez l’impact sur votre environnement grâce à l’évaluation du risque de vulnérabilité de Lacework, qui tient compte des évaluations des fournisseurs, de la prévalence, des évaluations CVSS et de l’exposition à l’Internet.
Analyser les pipelines d’intégration continue (CI)
- Contrôlez les images de containers au moment du développement grâce à un scanner inclus en plug-and-play qui s’intègre à une CI ou à des outils de développement tels que Jenkins, Travis CI ou Github Actions.
- Effectuez des analyses rapides et à faible latence des images de conteneurs à la demande ou toutes les 15 minutes grâce à notre fonction de sondage automatique.
- Intégrez des informations détaillées aux tickets de résolution à destination des développeurs.
Surveiller les registres des images de containers
- Maintenez une surveillance permanente des images de vos registres afin d’éviter les vulnérabilités.
- Intégrez le scanner de la plateforme Lacework aux registres publics pour analyser en permanence les images de containers à la recherche de paquets et de bibliothèques de langages vulnérables.
- Utilisez le scanner proxy pour analyser les registres privés et vous assurer que les applications sensibles et les images de containers disposent d’un accès public limité. Nous proposons à la fois des notifications pour les analyses automatiques et pour les registres.
Empêcher les containers à risque de se retrouver en production
- S’assurer que tout ce qui s’exécute sur un cluster est autorisé à s’exécuter en utilisant notre intégration à l’Admission Controller
- Bloquez ou effectuez un signalement lorsque les images du container ne répondent pas aux normes de sécurité avant sa mise en production.
- Déployez à la fois le webhook sur l’Admission Controller et le proxy scanner de Lacework dans chaque cluster Kubernetes pour analyser de nouvelles images avant le déploiement.
« Lacework a offert au marché une nouvelle solution, plus performante et plus sûre, qui permet d’effectuer des analyses sans agent. Les éléments relatifs à la confidentialité et au moindre privilège étaient essentiels pour nous permettre de déployer cette solution dans notre environnement. »
Charly Vitrano
Directeur des opérations de sécurité
« Lacework nous permet d’identifier les vulnérabilités critiques et d’agir en conséquence. Par exemple, nous devons souvent décider si la modification d’une configuration est justifiée ou si nous pouvons attendre jusqu’à la prochaine version. »
Karsten Tedesco
Expert principal en systèmes et produits, Santé moléculaire
LIRE L’ÉTUDE DE CAS
FAQ
En quoi la gestion des vulnérabilités est-elle différente dans le cloud ?
Les environnements en nuage sont dynamiques, avec des durées de vie des conteneurs courtes et un nouveau code déployé quotidiennement, voire continuellement. L’identification, l’évaluation, la hiérarchisation, la gestion et la remédiation sont différentes dans le nuage par rapport aux centres de données sur site ou aux appareils des utilisateurs finaux, ce qui nécessite des solutions adaptées.
Les solutions de gestion des vulnérabilités comprennent un ensemble de capacités permettant d’identifier, d’évaluer, de hiérarchiser, de gérer et de remédier aux vulnérabilités. Pourtant, dans les environnements en nuage dynamiques – avec des conteneurs dont la durée de vie typique est de quelques heures seulement et un nouveau code déployé quotidiennement, voire toutes les heures ou en continu – chaque composant de ce flux de travail diffère considérablement de la gestion de la vulnérabilité des centres de données sur site ou des appareils des utilisateurs finaux.
- L’identification est différente. Les balayages en réseau et authentifiés ne fonctionnent pas avec le nuage. Vous devez analyser le code tôt et souvent, au sein des flux de travail des développeurs, et également corréler et évaluer ce qui est déployé en production.
L’évaluation est différente. La nomenclature du logiciel de votre application remplace les \”mises à niveau des packs de vulnérabilité\” et constitue votre nouvelle source de vérité. - La définition des priorités est différente. Vous devez comprendre si les ressources sont exposées sur internet, les risques associés aux violation de compliance et les privilèges IAM trop permissifs, ou encore savoir si les paquets sont réellement actifs dans les applications.
- La gestion et la résolution des problèmes sont différentes. Étant donné que le système que vous corrigez est immuable (par exemple, les images de containers ou les Amazon Machine Images (AMI)), les informations sur les vulnérabilités doivent être facilement accessibles aux équipes de développement afin qu’elles puissent rapidement concevoir de nouvelles images avec des correctifs.
Toutes ces différences exigent une approche fondamentalement différente de la gestion des vulnérabilités dans le cloud, et vous aurez besoin d’une solution conçue spécifiquement pour le cloud pour relever ces défis.
Pourquoi la gestion des vulnérabilités est-elle primordiale pour une entreprise ?
Les outils de sécurité traditionnels ne peuvent pas faire face au volume croissant du nombre de vulnérabilités dans le cloud. Les solutions de gestion des vulnérabilités peuvent combler les lacunes en matière de visibilité en empêchant l’exploitation des vulnérabilités des logiciels qui mettent vos données en danger. Elles peuvent également découvrir de nombreuses listes de CVE (vulnérabilités et expositions communes).
Les vulnérabilités, connues ou non, se multiplient avec l’utilisation grandissante des logiciels open source. Dans les environnements cloud dynamiques, les outils de sécurité traditionnels ne peuvent pas faire face au volume croissant de vulnérabilités. Sans une solution de gestion des vulnérabilités, vous pourriez être confronté à des manques de visibilité qui laissent la porte ouverte à l’exploitation de vulnérabilités de logiciels et mettent vos données en danger.
En outre, de nombreuses solutions de gestion des vulnérabilités sont en mesure de produire de nombreuses listes de CVE, mais le manque de contexte d’exécution et de ressources compétentes peut rendre difficile le discernement des risques réels dans votre environnement.
En quoi consiste le processus de gestion des vulnérabilités ?
Identifiez, évaluez les risques et corrigez en permanence les vulnérabilités à haut risque grâce à un processus en quatre étapes : analysez et identifiez vos actifs pour détecter les vulnérabilités ; évaluez l’impact et établissez des priorités ; traitez et appliquez des correctifs par le biais de la remédiation, de l’atténuation ou de la gestion des correctifs ; mesurez et établissez des rapports grâce à des évaluations régulières.
Afin d’identifier, d’évaluer les risques et de remédier aux vulnérabilités à haut risque de manière continue, le processus de gestion des vulnérabilités comporte quatre étapes.
Analyser et identifier les vulnérabilités
La première étape consiste à identifier les actifs considérés comme de grande valeur et critiques pour évaluer les vulnérabilités dans l’ensemble de votre infrastructure en nuage. Définissez chaque actif que vous souhaitez évaluer avec votre solution de gestion des vulnérabilités, choisissez la bonne méthode d’analyse pour chaque type d’actif et commencez à analyser vos actifs.
Évaluer et classer les vulnérabilités par ordre de priorité
Une fois les vulnérabilités identifiées à partir de vos analyses, l’étape suivante consiste à évaluer le niveau d’impact, l’exploitabilité et la position de risque de chaque actif, afin de pouvoir classer par ordre de priorité les vulnérabilités sur lesquelles se concentrer.
Le système CVSS (Common Vulnerability Scoring System) est un cadre permettant d’évaluer la gravité des vulnérabilités logicielles. Les scores de risque fournissent une bonne approximation de l’importance relative des vulnérabilités. Cependant, il est important de comprendre l’impact commercial potentiel du système affecté sur votre organisation elle-même. Un indicateur que vous pouvez utiliser pour évaluer le niveau d’impact est de mesurer le nombre d’images affectées par une vulnérabilité. Par exemple, une vulnérabilité de haute gravité présente sur des centaines de conteneurs en fonctionnement devrait probablement être corrigée avant une vulnérabilité critique qui n’apparaît que dans quelques conteneurs.
Avec autant de vulnérabilités à corriger, il est essentiel de prendre en compte l’exploitabilité d’une vulnérabilité. Le facteur clé de l’exploitabilité consiste à déterminer si un actif est exposé à l’Internet. Votre solution doit être capable d’évaluer si la configuration d’une charge de travail est exposée à l’Internet, puis de prendre en compte l’exposition à l’Internet dans le cadre du score de risque. Idéalement, cette valeur est également disponible comme filtre pour la hiérarchisation. En outre, lorsque vous réfléchissez à la hiérarchisation des conteneurs, vous devez cibler les images qui sont réellement déployées en production. En corrélant les données sur les risques de vulnérabilité avec les observations d’exécution, vous pouvez mieux prioriser les vulnérabilités à corriger en premier.
Traiter et patcher les vulnérabilités
La troisième étape consiste à prendre des mesures concernant les vulnérabilités identifiées. Cela peut se faire par le biais de la remédiation, de l’atténuation ou de la gestion des correctifs, ou en ne prenant aucune mesure.
Pour les vulnérabilités à haut risque, la remédiation nécessite généralement la mise à niveau du paquet vulnérable dans un référentiel de code. L’atténuation des vulnérabilités réduit l’impact potentiel d’un exploit tant que la vulnérabilité reste dans votre environnement. Cela signifie que les parties vulnérables d’un bien reçoivent des correctifs de sécurité parce qu’un correctif n’est pas encore disponible ou ne peut être pris à ce moment-là. Lorsque la vulnérabilité présente un risque faible ou nul, il est possible qu’aucune mesure ne soit prise.
Mesurer et rendre compte des vulnérabilités
Il est essentiel de procéder à des évaluations régulières pour comprendre l’efficacité de votre pratique de gestion des vulnérabilités et de votre processus de gestion des correctifs.
L’évaluation ou le rapport résume les principales conclusions concernant les actifs, les failles de sécurité et le risque global pour l’organisation. Les indicateurs clés de performance communs comprennent la mesure de la couverture de l’analyse et les délais d’exécution des correctifs. Par exemple, la couverture du balayage fait référence au pourcentage d’actifs pour lesquels des données complètes et précises sont disponibles. Les délais d’exécution des correctifs peuvent inclure la mesure du temps moyen de détection, du temps moyen de correction, du taux de récurrence des problèmes, et un regard sur l’évolution de ces chiffres dans le temps. Il est également utile de mesurer le taux de risque pondéré, qui résume les vulnérabilités identifiées et les compare à la criticité des données liées à ces vulnérabilités.
Pages associées
Découvrez d’autres sujets similaires
Ressources et insights
Vous souhaitez voir Lacework à l’œuvre ?
Détectez plus vite les menaces inconnues et surveillez en permanence les signes de compromission. Essayez-nous pour découvrir la différence par vous-même.