Le fournisseur de sécurité dans le cloud Lacework a ajouté une fonctionnalité de gestion des risques de vulnérabilité à sa plateforme de protection des applications natives du cloud (Cloud Native Application Protection Platform, CNAPP). Cette fonctionnalité SaaS combinera la détection active des paquets, l'analyse des chemins d'attaque et les données internes sur les exploits actifs afin de générer des scores de risque de vulnérabilité personnalisés. « Lacework adopte une approche basée sur le risque qui va au-delà d'un système commun de notation des vulnérabilités (Common Vulnerability Scoring System, CVSS) et examine l'environnement unique de chaque client, pour déterminer quels paquets sont actifs, si cet hôte est exposé à Internet, s'il y a des exploits dans la nature, etc. », a déclaré a déclaré Nolan Karpinski, directeur de la gestion des produits chez Lacework. « Les scores CVSS sont très génériques et, parfois, ne s'appliquent pas à tous les contextes, ce qui signifie qu'ils peuvent, ou non, être néfastes pour l’environnement », a-t-il ajouté.
Une évaluation basée sur des paramètres contextuels
L'évaluation des vulnérabilités de Lacework tient compte de l'exposition des environnements concernés à lnternet, de l'utilisation des paquets et du fait qu'ils ont été, ou non, exploités dans la nature. Les clients peuvent pondérer ces facteurs afin de s'aligner sur leurs directives de sécurité internes et de hiérarchiser les correctifs en fonction des scores obtenus. « Par ailleurs, la notation se concentre sur le contexte du flux reçu par le panneau de contrôle du cloud qui indique si la charge de travail est activement utilisée dans un environnement privé, un environnement de production, un système de développement ou un processus critique pour l'entreprise », a encore déclaré M. Karpinski. « Ces considérations contextuelles sont très importantes », a déclaré pour sa part Frank Dickson, analyste chez IDC. « Par exemple, si une vulnérabilité a un score CVS de 9,8, et une autre, un score de 7. La notation contextuelle classera peut-être la vulnérabilité à 9.8 un peu plus bas parce qu'elle est moins exposée à Internet, ou qu'elle n’est pas encore exploitée. Celle qui a un score de 7 peut être plus critique si l'un ou l'autre de ces facteurs, ou les deux, sont élevés ». Selon M. Karpinski, la « détection active des vulnérabilités » de Lacework offre une visibilité sur les solutions utilisées par les équipes de sécurité, ce qui permet également de soulager leur travail.
Une analyse étendue des chemins d'attaque
Lacework affirme par ailleurs que cette fonctionnalité permet de découvrir les chemins d'attaque vers les applications basées sur Kubernetes, y compris les conteneurs exposés à Internet et les ports ouverts, et aux équipes de sécurité de communiquer aux développeurs les risques auxquels Kubernetes est exposé, en fonction du contexte. « La plateforme d’orchestration des conteneurs Kubernetes étant extensible, l'architecture des conteneurs peut varier d'un modèle monolithique à une combinaison de multiples micro-services. Ce qui rend Kubernetes très complexe, car au lieu d'examiner une seule application, il faut parfois examiner la façon dont des milliers de conteneurs interagissent les uns avec les autres », a expliqué Franck Dickson. « L'inclusion de l'élément Kubernetes dans l'analyse du chemin d'attaque peut vraiment accroître la visibilité sur les paquets d'applications et permettre d'établir des priorités », a-t-il ajouté. En s’appuyant sur la capacité de Lacework, le tableau de bord de la plateforme affichera un menu déroulant répertoriant et hiérarchisant les risques, et offrira une visibilité sur les risques à travers de multiples domaines, secrets et chemins d'attaque vers les actifs critiques. Lacework affirme qu’avec ces scores de vulnérabilité basés sur le risque, il est possible de réduire de 90 % le bruit des vulnérabilités et de se concentrer sur les problèmes les plus critiques. La fonctionnalité est déjà accessible au public via la plateforme de protection des applications natives du cloud CNAPP de Lacework, sans surcoût.