Gestion des vulnérabilités à grande échelle | Lacework

Gestion des vulnérabilités avec priorisation basée sur les risques

Bénéficiez d'une surveillance continue des vulnérabilités qui menacent le plus votre environnement cloud.

Résolution des problèmes

Corrigez vos vulnérabilités les plus critiques

Votre liste de vulnérabilités à corriger ne cesse de s'allonger ? Limitez votre surface d'attaque grâce à une solution de gestion des vulnérabilités qui vous permet de cibler les menaces critiques dès le début du cycle de développement.

Toutes les vulnérabilités ne se valent pas

Toutes les vulnérabilités ne se valent pas

Et si vous pouviez mieux comprendre les risques de votre environnement en contexte afin de prioriser les correctifs ?

Les analyses régulières ne suffisent pas

Les analyses régulières ne suffisent pas

Et si vous disposiez d'un outil unique pour identifier les vulnérabilités, les erreurs de configuration et les violations de conformité observées tout au long du cycle de développement des logiciels ?

Il est trop tard pour corriger les problèmes en production

Il est trop tard pour corriger les problèmes en production

Et si vous pouviez identifier et corriger les vulnérabilités lors du build pour réduire vos dépenses et gagner en productivité ?

Visite guidée

Découvrez l'environnement du point de vue d'un hacker

Commencer la visite
Feature Brief

Attack path analysis

Lire
Avantages

Gestion des vulnérabilités en continu

Nous identifions plus rapidement vos vulnérabilités et vous aidons à mieux les hiérarchiser, ce qui vous donne plus de liberté pour développer, concevoir et innover.

En savoir plus sur Polygraph®

  • D'un suivi ponctuel à une surveillance continue

    Surveillez activement les vecteurs d'attaque en évaluant continuellement les images de containers, les hôtes et les bibliothèques de langages à la recherche de nouvelles vulnérabilités.

  • De listes sans fin à une hiérarchisation des priorités

    Déterminez quelles sont les vulnérabilités qui présentent les risques les plus importants dans votre environnement afin de les corriger.

  • D'une perte de temps à un gain d'efficacité

    Allégez le travail en production et corrigez les problèmes au moment du développement en permettant aux développeurs d'accéder plus facilement aux données sur les vulnérabilités.

Notre approche

Gérer les vulnérabilités, de la conception à l'exécution

En corrélant les données relatives à l'exécution et aux risques, nous vous aidons à identifier et à corriger plus rapidement les vulnérabilités les plus sérieuses.

Collecter plus de données, avec et sans agents

  • Obtenez une visibilité immédiate des risques de vulnérabilité dans vos workloads actifs sur le cloud.
  • Analysez et détectez les vulnérabilités des hôtes actifs, des containers et des bibliothèques de langages d'applications sur AWS à l'aide de la fonctionnalité d'analyse des workloads sans agent.
  • Combinez l'analyse des workloads sans agent avec des agents facilement exploitables pour une analyse plus approfondie, une surveillance continue des workloads et une détection des anomalies basée sur le comportement.

En savoir plus sur la collecte de données avec et sans agent

Attack path analysis

Donner la priorité à votre environnement

  • Identifiez les risques connus publiquement sur les paquets de systèmes d'exploitation et les bibliothèques de langages grâce à notre système combinant des sources de données publiques et commerciales sur les vulnérabilités.
  • Priorisez les risques les plus exploitables avec Exposure Polygraph. Visualisez le chemin d'attaque potentiel depuis Internet jusqu'à l'instance EC2. Nous établissons un lien entre plusieurs vecteurs d'attaque, notamment les vulnérabilités, l'accessibilité du réseau, les informations confidentielles exposées et les rôles IAM.
  • Analysez l'impact sur votre environnement grâce à l'évaluation du risque de vulnérabilité de Lacework, qui tient compte des évaluations des fournisseurs, de la prévalence, des évaluations CVSS et de l'exposition à l'Internet.

Aperçu d'Exposure Polygraph — Regarder la vidéo

Analyser les pipelines d'intégration continue (CI)

  • Contrôlez les images de containers au moment du développement grâce à un scanner inclus en plug-and-play qui s'intègre à une CI ou à des outils de développement tels que Jenkins, Travis CI ou Github Actions.
  • Effectuez des analyses rapides et à faible latence des images de containers à la demande ou toutes les 15 minutes grâce à notre fonctionnalité d'analyse automatique.
  • Intégrez des informations détaillées aux tickets de résolution à destination des développeurs.

Surveiller les registres des images de containers

  • Maintenez une surveillance permanente des images de vos registres afin d'éviter les vulnérabilités.
  • Intégrez le scanner de la plateforme Lacework aux registres publics pour analyser en permanence les images de containers à la recherche de paquets et de bibliothèques de langages vulnérables.
  • Utilisez le scanner proxy pour analyser les registres privés et vous assurer que les applications sensibles et les images de containers disposent d'un accès public limité. Nous proposons à la fois des notifications pour les analyses automatiques et pour les registres.

Empêcher les containers à risque de se retrouver en production

  • S'assurer que tout ce qui s'exécute sur un cluster est autorisé à s'exécuter en utilisant notre intégration à l'Admission Controller
  • Bloquez ou effectuez un signalement lorsque les images du container ne répondent pas aux normes de sécurité avant sa mise en production.
  • Déployez à la fois le webhook sur l'Admission Controller et le proxy scanner de Lacework dans chaque cluster Kubernetes pour analyser de nouvelles images avant le déploiement.
Principes fondamentaux de la sécurité du cloud

FAQ

En quoi la gestion des vulnérabilités est-elle différente dans le cloud ?

Les environnements cloud sont dynamiques, la durée de vie des containers est limitée et de nouveaux codes sont déployés quotidiennement, voire continuellement. L'identification, l'évaluation, la hiérarchisation, la gestion et les mesures correctives ne sont pas les mêmes dans le cloud que dans les centres de données sur site ou sur les équipements des utilisateurs finaux, d'où le besoin de solutions spécifiques.

Les solutions de gestion des vulnérabilités comprennent un ensemble de fonctionnalités permettant d'identifier, d'évaluer, de hiérarchiser, de gérer et de corriger les vulnérabilités. Pourtant, dans les environnements cloud dynamiques, où la durée de vie des containers ne dépasse pas quelques heures et où de nouveaux codes sont déployés quotidiennement, voire toutes les heures ou en continu, chaque composant de ce workflow diffère considérablement de la gestion des vulnérabilités dans les centres de données sur site ou sur les appareils des utilisateurs finaux.

  • L'identification est différente. Les scans réseau authentifiés ne sont pas adaptés au cloud. Vous devez analyser le code à un stade précoce et, souvent, au sein des workflows des développeurs, également mettre en corrélation et évaluer ce qui est déployé en production.
    L'évaluation est différente. La nomenclature du logiciel de votre application remplace les « mises à jour de l'ensemble des vulnérabilités » et constitue votre nouvelle référence.
  • La définition des priorités est différente. Vous devez comprendre si les ressources sont exposées sur internet, les risques associés aux violation de compliance et les privilèges IAM trop permissifs, ou encore savoir si les paquets sont réellement actifs dans les applications.
  • La gestion et la résolution des problèmes sont différentes. Étant donné que le système que vous corrigez est immuable (par exemple, les images de containers ou les Amazon Machine Images (AMI)), les informations sur les vulnérabilités doivent être facilement accessibles aux équipes de développement afin qu'elles puissent rapidement concevoir de nouvelles images avec des correctifs.

Toutes ces différences exigent une approche fondamentalement différente de la gestion des vulnérabilités dans le cloud, et vous aurez besoin d'une solution conçue spécifiquement pour le cloud pour relever ces défis.

Pourquoi la gestion des vulnérabilités est-elle primordiale pour une entreprise ?

Les outils de sécurité traditionnels ne peuvent pas faire face au volume croissant du nombre de vulnérabilités dans le cloud. Les solutions de gestion des vulnérabilités peuvent combler les lacunes en matière de visibilité en empêchant l'exploitation des vulnérabilités des logiciels qui mettent vos données en danger. Elles peuvent également découvrir de nombreuses listes de CVE (vulnérabilités et expositions communes).

Les vulnérabilités, connues ou non, se multiplient avec l'utilisation grandissante des logiciels open source. Dans les environnements cloud dynamiques, les outils de sécurité traditionnels ne peuvent pas faire face au volume croissant de vulnérabilités. Sans une solution de gestion des vulnérabilités, vous pourriez être confronté à des manques de visibilité qui laissent la porte ouverte à l'exploitation de vulnérabilités de logiciels et mettent vos données en danger.

En outre, de nombreuses solutions de gestion des vulnérabilités sont en mesure de produire de nombreuses listes de CVE, mais le manque de contexte d'exécution et de ressources compétentes peut rendre difficile le discernement des risques réels dans votre environnement.

En quoi consiste le processus de gestion des vulnérabilités ?

Identifiez, évaluez les risques et corrigez en permanence les vulnérabilités à haut risque grâce à un processus en quatre étapes : analysez et identifiez les vulnérabilités de vos actifs ; évaluez l'impact et établissez des priorités ; traitez et appliquez des correctifs par le biais de mesures correctives, d'atténuation ou de gestion des correctifs ; procédez à des évaluations régulières et établissez des rapports.

Pour identifier, évaluer les risques et corriger systématiquement les vulnérabilités à haut risque, il y a quatre étapes à suivre dans le processus de gestion des vulnérabilités

Analyser et identifier les vulnérabilités
La première étape consiste à identifier les actifs considérés comme à haute valeur et critiques afin d'évaluer les vulnérabilités de l'ensemble de votre infrastructure cloud. Définissez chaque actif que vous souhaitez évaluer avec votre solution de gestion des vulnérabilités, choisissez la bonne méthode d'analyse pour chaque type d'actif et lancez cette analyse.

Évaluer les vulnérabilités et établir des priorités
Une fois que les vulnérabilités ont été identifiées grâce à vos analyses, l'étape suivante consiste à évaluer le niveau d'impact, la possibilité d'exploitation et le risque de chaque actif, afin de déterminer les vulnérabilités à traiter en priorité.

Le système CVSS (Common Vulnerability Scoring System) est un système d'évaluation du degré de gravité des vulnérabilités des logiciels. Les scores de risque fournissent une bonne approximation de la sévérité relative des vulnérabilités. Cependant, il est important de prendre en compte l'impact commercial du système affecté. Un indicateur que vous pouvez utiliser pour évaluer le niveau d'impact est la mesure du nombre d'images affectées par une vulnérabilité. Par exemple, une vulnérabilité sévère présente dans des centaines de containers actifs devrait probablement être corrigée avant une vulnérabilité critique qui ne concerne que quelques containers.

Compte tenu du grand nombre de vulnérabilités à corriger, il est essentiel de tenir compte de la facilité d'exploitation d'une vulnérabilité. Le facteur clé pour l'exploitabilité consiste à déterminer si un actif est exposé sur Internet. Votre solution doit être capable de déterminer si la configuration d'un workload est exposée sur Internet, puis de prendre en compte cette exposition dans le score de risque. Idéalement, cette valeur est également applicable en tant que filtre lors de la hiérarchisation des priorités. En outre, lorsque vous définissez les priorités pour les containers, vous devez cibler les images qui sont réellement déployées en production. En corrélant les données relatives aux risques de vulnérabilité avec les observations d'exécution, vous serez en mesure de hiérarchiser plus efficacement les vulnérabilités à corriger en priorité.

Traiter et corriger les vulnérabilités
La troisième étape consiste à prendre des mesures pour remédier aux vulnérabilités identifiées. Cela peut passer par des mesures correctives, des mesures d'atténuation, la gestion des correctifs ou le fait de ne pas agir du tout.

Pour les vulnérabilités à haut risque, les mesures correctives consistent généralement à mettre à niveau le paquet vulnérable dans un référentiel de code. L'atténuation des vulnérabilités réduit l'impact potentiel d'un exploit aussi longtemps que la vulnérabilité sera présente dans votre environnement. Cela signifie que les parties vulnérables d'un actif se voient appliquer des correctifs de sécurité parce qu'une solution définitive n'est pas encore disponible ou ne peut être appliquée pour le moment. Lorsque la vulnérabilité présente un risque faible ou nul, il se peut qu'aucune action ne soit envisagée.

Procéder à des évaluations et générer des rapports sur les vulnérabilités
Il est essentiel de procéder à des évaluations régulières pour savoir si votre méthode de gestion des vulnérabilités et votre processus de gestion des correctifs sont efficaces.

Les rapports synthétisent les principales conclusions au sujet des ressources, des failles de sécurité et du risque encouru pour l'entreprise. Parmi les principaux KPIs, on retrouve la couverture des scans et le temps de moyen d'application des correctifs. À titre d'exemple, la couverture des scans fait référence aux ressources pour lesquelles nous disposons de données complètes et précises. Quant au temps moyen d'application des correctifs, il peut s'appuyer sur le temps moyen de détection, le temps moyen de remédiation, le taux d'occurrence de la faille ainsi que l'évolution de ces chiffres dans le temps. Il est également important de calculer le risque pondéré prenant en considération les vulnérabilités identifiées et ajustant le risque en fonction de la criticité de l'environnement concerné.

Vous souhaitez voir Lacework à l'œuvre ?

Détectez plus vite les menaces inconnues et surveillez en permanence les signes de compromission. Essayez-nous pour découvrir la différence par vous-même.

Voir une démo