
Toutes les vulnérabilités ne se valent pas
Et si vous pouviez mieux comprendre les risques de votre environnement en contexte afin de prioriser les correctifs ?
Les entreprises les plus innovantes au monde font confiance à Lacework.
Nous aidons nos partenaires à mettre en place des pratiques efficaces et rentables pour la sécurité du cloud en vue de favoriser son adoption.
Découvrez l'approche moderne de Lacework en matière de sécurité du cloud grâce à nos articles, études de cas, vidéos, e-books, webinaires et livres blancs.
Bénéficiez d'une surveillance continue des vulnérabilités qui menacent le plus votre environnement cloud.
Votre liste de vulnérabilités à corriger ne cesse de s'allonger ? Limitez votre surface d'attaque grâce à une solution de gestion des vulnérabilités qui vous permet de cibler les menaces critiques dès le début du cycle de développement.
Et si vous pouviez mieux comprendre les risques de votre environnement en contexte afin de prioriser les correctifs ?
Et si vous disposiez d'un outil unique pour identifier les vulnérabilités, les erreurs de configuration et les violations de conformité observées tout au long du cycle de développement des logiciels ?
Et si vous pouviez identifier et corriger les vulnérabilités lors du build pour réduire vos dépenses et gagner en productivité ?
Nous identifions plus rapidement vos vulnérabilités et vous aidons à mieux les hiérarchiser, ce qui vous donne plus de liberté pour développer, concevoir et innover.
Surveillez activement les vecteurs d'attaque en évaluant continuellement les images de containers, les hôtes et les bibliothèques de langages à la recherche de nouvelles vulnérabilités.
Déterminez quelles sont les vulnérabilités qui présentent les risques les plus importants dans votre environnement afin de les corriger.
Allégez le travail en production et corrigez les problèmes au moment du développement en permettant aux développeurs d'accéder plus facilement aux données sur les vulnérabilités.
En corrélant les données relatives à l'exécution et aux risques, nous vous aidons à identifier et à corriger plus rapidement les vulnérabilités les plus sérieuses.
En savoir plus sur la collecte de données avec et sans agent
« Lacework a offert au marché une nouvelle solution, plus performante et plus sûre, qui permet d'effectuer des analyses sans agent. Les éléments relatifs à la confidentialité et au moindre privilège étaient essentiels pour nous permettre de déployer cette solution dans notre environnement. »
« Lacework a été essentiel pour nous aider à identifier rapidement notre exposition à Log4j, et par conséquent, nous avons pu maintenir la transparence et la communication avec nos clients en temps réel. »
« Lacework nous permet d'identifier les vulnérabilités critiques et d'agir en conséquence. Par exemple, nous devons souvent décider si la modification d'une configuration est justifiée ou si nous pouvons attendre jusqu'à la prochaine version. »
Les environnements cloud sont dynamiques, la durée de vie des containers est limitée et de nouveaux codes sont déployés quotidiennement, voire continuellement. L'identification, l'évaluation, la hiérarchisation, la gestion et les mesures correctives ne sont pas les mêmes dans le cloud que dans les centres de données sur site ou sur les équipements des utilisateurs finaux, d'où le besoin de solutions spécifiques.
Les solutions de gestion des vulnérabilités comprennent un ensemble de fonctionnalités permettant d'identifier, d'évaluer, de hiérarchiser, de gérer et de corriger les vulnérabilités. Pourtant, dans les environnements cloud dynamiques, où la durée de vie des containers ne dépasse pas quelques heures et où de nouveaux codes sont déployés quotidiennement, voire toutes les heures ou en continu, chaque composant de ce workflow diffère considérablement de la gestion des vulnérabilités dans les centres de données sur site ou sur les appareils des utilisateurs finaux.
Toutes ces différences exigent une approche fondamentalement différente de la gestion des vulnérabilités dans le cloud, et vous aurez besoin d'une solution conçue spécifiquement pour le cloud pour relever ces défis.
Les outils de sécurité traditionnels ne peuvent pas faire face au volume croissant du nombre de vulnérabilités dans le cloud. Les solutions de gestion des vulnérabilités peuvent combler les lacunes en matière de visibilité en empêchant l'exploitation des vulnérabilités des logiciels qui mettent vos données en danger. Elles peuvent également découvrir de nombreuses listes de CVE (vulnérabilités et expositions communes).
Les vulnérabilités, connues ou non, se multiplient avec l'utilisation grandissante des logiciels open source. Dans les environnements cloud dynamiques, les outils de sécurité traditionnels ne peuvent pas faire face au volume croissant de vulnérabilités. Sans une solution de gestion des vulnérabilités, vous pourriez être confronté à des manques de visibilité qui laissent la porte ouverte à l'exploitation de vulnérabilités de logiciels et mettent vos données en danger.
En outre, de nombreuses solutions de gestion des vulnérabilités sont en mesure de produire de nombreuses listes de CVE, mais le manque de contexte d'exécution et de ressources compétentes peut rendre difficile le discernement des risques réels dans votre environnement.
Identifiez, évaluez les risques et corrigez en permanence les vulnérabilités à haut risque grâce à un processus en quatre étapes : analysez et identifiez les vulnérabilités de vos actifs ; évaluez l'impact et établissez des priorités ; traitez et appliquez des correctifs par le biais de mesures correctives, d'atténuation ou de gestion des correctifs ; procédez à des évaluations régulières et établissez des rapports.
Pour identifier, évaluer les risques et corriger systématiquement les vulnérabilités à haut risque, il y a quatre étapes à suivre dans le processus de gestion des vulnérabilités
Analyser et identifier les vulnérabilités
La première étape consiste à identifier les actifs considérés comme à haute valeur et critiques afin d'évaluer les vulnérabilités de l'ensemble de votre infrastructure cloud. Définissez chaque actif que vous souhaitez évaluer avec votre solution de gestion des vulnérabilités, choisissez la bonne méthode d'analyse pour chaque type d'actif et lancez cette analyse.
Évaluer les vulnérabilités et établir des priorités
Une fois que les vulnérabilités ont été identifiées grâce à vos analyses, l'étape suivante consiste à évaluer le niveau d'impact, la possibilité d'exploitation et le risque de chaque actif, afin de déterminer les vulnérabilités à traiter en priorité.
Le système CVSS (Common Vulnerability Scoring System) est un système d'évaluation du degré de gravité des vulnérabilités des logiciels. Les scores de risque fournissent une bonne approximation de la sévérité relative des vulnérabilités. Cependant, il est important de prendre en compte l'impact commercial du système affecté. Un indicateur que vous pouvez utiliser pour évaluer le niveau d'impact est la mesure du nombre d'images affectées par une vulnérabilité. Par exemple, une vulnérabilité sévère présente dans des centaines de containers actifs devrait probablement être corrigée avant une vulnérabilité critique qui ne concerne que quelques containers.
Compte tenu du grand nombre de vulnérabilités à corriger, il est essentiel de tenir compte de la facilité d'exploitation d'une vulnérabilité. Le facteur clé pour l'exploitabilité consiste à déterminer si un actif est exposé sur Internet. Votre solution doit être capable de déterminer si la configuration d'un workload est exposée sur Internet, puis de prendre en compte cette exposition dans le score de risque. Idéalement, cette valeur est également applicable en tant que filtre lors de la hiérarchisation des priorités. En outre, lorsque vous définissez les priorités pour les containers, vous devez cibler les images qui sont réellement déployées en production. En corrélant les données relatives aux risques de vulnérabilité avec les observations d'exécution, vous serez en mesure de hiérarchiser plus efficacement les vulnérabilités à corriger en priorité.
Traiter et corriger les vulnérabilités
La troisième étape consiste à prendre des mesures pour remédier aux vulnérabilités identifiées. Cela peut passer par des mesures correctives, des mesures d'atténuation, la gestion des correctifs ou le fait de ne pas agir du tout.
Pour les vulnérabilités à haut risque, les mesures correctives consistent généralement à mettre à niveau le paquet vulnérable dans un référentiel de code. L'atténuation des vulnérabilités réduit l'impact potentiel d'un exploit aussi longtemps que la vulnérabilité sera présente dans votre environnement. Cela signifie que les parties vulnérables d'un actif se voient appliquer des correctifs de sécurité parce qu'une solution définitive n'est pas encore disponible ou ne peut être appliquée pour le moment. Lorsque la vulnérabilité présente un risque faible ou nul, il se peut qu'aucune action ne soit envisagée.
Procéder à des évaluations et générer des rapports sur les vulnérabilités
Il est essentiel de procéder à des évaluations régulières pour savoir si votre méthode de gestion des vulnérabilités et votre processus de gestion des correctifs sont efficaces.
Les rapports synthétisent les principales conclusions au sujet des ressources, des failles de sécurité et du risque encouru pour l'entreprise. Parmi les principaux KPIs, on retrouve la couverture des scans et le temps de moyen d'application des correctifs. À titre d'exemple, la couverture des scans fait référence aux ressources pour lesquelles nous disposons de données complètes et précises. Quant au temps moyen d'application des correctifs, il peut s'appuyer sur le temps moyen de détection, le temps moyen de remédiation, le taux d'occurrence de la faille ainsi que l'évolution de ces chiffres dans le temps. Il est également important de calculer le risque pondéré prenant en considération les vulnérabilités identifiées et ajustant le risque en fonction de la criticité de l'environnement concerné.
Pages associées
Détectez plus vite les menaces inconnues et surveillez en permanence les signes de compromission. Essayez-nous pour découvrir la différence par vous-même.