Раскрытая правда — безагентная безопасность — это не настоящая безопасность

182

Хотя многие специалисты по безопасности знали об этом с самого начала, многие были введены в заблуждение, заставив поверить в раздутые обещания безопасности без агентов. Но к чему эта новость? Потому что два ведущих поставщика безагентных решений, наконец, сдались и объявили о партнерстве с поставщиками средств защиты среды выполнения на основе агентов и поставщиками CWPP.

Это компании, которые заявляют, что агенты — это «старая школа» и что «безопасность на основе агентов мертва». Такие взгляды всегда были для меня загадкой.

Но почему это важно? На фоне всей шумихи вокруг безагентной безопасности многие организации были введены в заблуждение, полагая, что, развернув безагентные решения, они полностью защитили и обезопасили свои облачные среды.

“);



Это не так, конечно. Agentless преодолела «пик завышенных ожиданий» и с визгом устремляется к «корыту разочарования».

В реальном мире безагентный подход в корне ошибочен, поскольку дает ложное ощущение безопасности и ведет к слепым зонам. Не дайте себя обмануть некоторым поставщикам систем безопасности, которые предлагают: «Вы в безопасности, потому что у вас нет неправильных конфигураций в общедоступной облачной среде, и вы соответствуете требованиям PCI».

А как насчет 50% резидентных атак, которые безагенты даже не видят? Без агента технические специалисты не смогут увидеть эти атаки, не говоря уже о том, чтобы заблокировать их.

Безагентный подход в корне ошибочен, поскольку дает ложное ощущение безопасности и ведет к слепым зонам. Тот факт, что в общедоступной облачной среде нет неправильных конфигураций, НЕ означает, что она защищена! Без агента организация не может обнаружить 50% атак, включая резидентные атаки в памяти, которые не может обнаружить безагентная система безопасности, не говоря уже о том, чтобы заблокировать их.

Так почему же одной безагентной безопасности недостаточно? Потому что безагентные решения для обеспечения безопасности обеспечивают видимость, базовое соответствие требованиям и управление состоянием, хотя они не могут защитить приложения во время выполнения или остановить атаки в рабочей среде — в отличие от безопасности на основе агентов. Вот почему:

• Видимость на определенный момент времени. Сканирование без агента обычно запускается раз в 24 часа, показывая положение дел на момент времени, когда было выполнено сканирование. В остальное время организация работает вслепую и понятия не имеет о том, что происходит в ее среде.

• Из-за высокой скорости и эфемерного характера облачных рабочих нагрузок к моменту следующего сканирования рабочая нагрузка перестанет выполняться. Злоумышленники проникнут в окружающую среду и исчезнут, забрав то, за чем пришли, в течение нескольких минут, если не секунд после атаки.

• Никакого реального применения: когда безагентные решения делают копию образа диска, они не смотрят на фактически работающий код. После создания моментального снимка они никак не связаны с текущей рабочей нагрузкой. Если они могут идентифицировать атаку по снимку образа диска, они могут только предупредить о проблеме и не имеют механизма для предотвращения атаки. Для этого нужен агент. В результате клиенты вынуждены самостоятельно останавливать атаки.

• Сложные безфайловые методы. Злоумышленники становятся все более изощренными и часто используют безфайловые вредоносные программы, чтобы избежать обнаружения и не оставить следов.

Недавно исследовательская группа моей компании по безопасности обнаружила глобальную кампанию, атакующую серверы Redis с помощью созданного на заказ безфайлового вредоносного ПО под названием HeadCrab. Безагентные решения пропускают такие изощренные угрозы, потому что они не видят процесс, работающий в памяти, из образа статического диска. Еще раз, еще одно слепое пятно.

Таким образом, безагентная видимость — это здорово, поскольку она быстрая и простая. На самом деле это всего лишь одна часть головоломки. В производственной среде ставки высоки, и критически важные и конфиденциальные рабочие нагрузки организации требуют безопасности и защиты в режиме реального времени. Следовательно, агент.

В реальном мире организациям нужны как агенты, так и безагенты. Недавние объявления о партнерстве подтверждают, что для обеспечения эффективной защиты в облаке им необходимо использовать в своей стратегии безопасности как безагентные, так и агентские решения. Моя компания уже давно выступает за это, и мы рады, что даже «чисто безагентные» вендоры наконец-то поняли это.

Однако недостаточно просто развернуть как безагентные, так и агентские решения. В полной картине должна быть прочная связь, единая видимость и корреляция рисков между ними. В противном случае будет не хватать контекста для понимания риска и определения приоритетов вопросов безопасности.

Этого нельзя добиться, пытаясь прикрутить к платформе сторонние исполняющие агенты — основную и наиболее технически сложную часть защиты рабочей нагрузки. Объединение нескольких поставщиков приведет к дальнейшему разрастанию инструментов, разрозненной видимости и фрагментированной защите во время выполнения.

Чтобы облачная платформа защиты приложений (CNAPP) была интегрированной платформой, а не набором разрозненных возможностей, агент должен быть неотъемлемой частью решения, а не дополнением. Это возможно только с одной платформой от одного производителя.

Одна платформа объединяет все воедино

С момента основания видение моей компании было кристально ясным: предоставить единое комплексное решение для обеспечения безопасности на протяжении всего жизненного цикла приложения на одной целостной платформе. Мы верим в то, что для того, чтобы быть настоящим CNAPP, решение должно включать в себя строгие средства управления во время выполнения и останавливать текущие атаки.

Таким образом, мы создали решение для обеспечения безопасности во время выполнения полностью собственными силами, дополненное восьмилетним практическим опытом и знаниями клиентов. Наш агент Lightning, основанный на технологии eBPF, быстрее, легче и проще в управлении в масштабе, чем вчерашние агенты.

Клиенты также извлекают выгоду из нашего целенаправленного исследования безопасности в облаке, в ходе которого изучаются тысячи реальных атак и создаются поведенческие сигнатуры, помогающие выявлять новые угрозы и защищаться от них.

Более того, наша платформа была первой CNAPP, сочетающей активную защиту с безагентным контролем рабочих нагрузок. Созданные вместе с нуля, агенты и безагенты обогащают друг друга и обмениваются контекстом на протяжении всего жизненного цикла приложения, позволяя специалистам по безопасности быстро обнаруживать, определять приоритеты и устранять самые высокие риски, а также останавливать текущие атаки.

Учитывая растущую изощренность облачных атак, одной видимости недостаточно. Не снижайте уровень безопасности из-за технических ограничений любого поставщика; для надежной защиты требуются как агенты, так и безагенты, а также единая комплексная и интегрированная платформа.

При поиске настоящего CNAPP самый важный вопрос, который могут задать бизнес-лидеры или лидеры по безопасности, звучит так: «Защищен ли я от плохих вещей, происходящих с моими облачными приложениями в производственной среде, и могу ли я обнаружить и остановить атаку в режиме реального времени, если дело дойдет до этого? ?»

Соучредитель и технический директор Aqua Security Амир Джерби
Соучредитель и технический директор Aqua Security Амир Джерби
Читать полную новость на сайте