La mise à jour introduit une couche d’opérations unifiée conçue pour regrouper les signaux de risque dans les environnements cloud et aider les RSSI à gérer les menaces via une plate-forme de sécurité unique.
Amazon Web Services étend AWS Security Hub pour fonctionner comme une plate-forme d’opérations de sécurité centralisée capable de regrouper les signaux de risque dans des environnements multicloud.
Avec le Security Hub mis à jour, la société a annoncé qu’elle introduirait une couche d’opérations unifiée qui fournirait aux équipes de sécurité des analyses des risques en temps quasi réel, des analyses automatisées et des informations hiérarchisées.
Alors que les charges de travail des entreprises se sont réparties entre plusieurs fournisseurs de cloud, l’expansion de Security Hub vise à répondre à la complexité croissante à laquelle sont confrontés les RSSI et à les aider à se concentrer sur la gestion des risques plutôt que sur les outils, a déclaré la société dans un article de blog.
AWS Security Hub réinventé
Alors que les équipes de sécurité ont du mal à gérer plusieurs outils, le Security Hub étendu introduit une couche de données commune conçue pour unifier les signaux de sécurité provenant de toutes les charges de travail de l’entreprise. Il offrira alors une vue unique des risques aux équipes de sécurité au lieu d’un ensemble fragmenté de consoles.
Les équipes de sécurité seront également en mesure de gérer leur posture de sécurité dans le cloud à l’aide des contrôles Security Hub CSPM, qui fournissent une visibilité sur la posture et étendent la gestion des vulnérabilités grâce aux capacités étendues d’Amazon Inspector, notamment l’analyse des machines virtuelles, l’analyse des images de conteneurs et l’analyse des charges de travail sans serveur, a indiqué la société.
Security Hub jouait à l’origine un rôle plus restreint. Mais en décembre de l’année dernière, AWS a rassemblé les signaux de ses services de sécurité dans une interface unique pour analyser automatiquement les menaces, les vulnérabilités, les erreurs de configuration et les expositions de données sensibles. Cette liste de services comprend Amazon GuardDuty, Inspector, Security Hub Cloud Security Posture Management et Amazon Macie.
La dernière extension multicloud sera construite sur cette base, ainsi que le lancement antérieur par AWS d’AWS Security Hub Extended, qui permet aux entreprises de déployer et de gérer des outils de sécurité tiers directement via Security Hub à un tarif pré-négocié à l’utilisation, sans engagement à long terme.
Le portefeuille sélectionné comprend des fournisseurs tels que CrowdStrike, Okta, Proofpoint, SailPoint, Splunk et Zscaler, permettant aux organisations d’étendre la visibilité sur la sécurité au-delà des environnements AWS.
Surveillance de la sécurité cross-cloud
Bien qu’AWS n’ait pas fourni de détails techniques sur la manière dont il identifiera les vulnérabilités en dehors de son environnement d’origine, Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que la visibilité multicloud fonctionne généralement en collectant les signaux de plusieurs systèmes de sécurité et en les traduisant dans un format cohérent afin qu’ils puissent être analysés ensemble.
Un élément clé de cette approche est l’Open Cybersecurity Schema Framework, qui définit une structure commune pour représenter les événements de sécurité et les vulnérabilités.
» Lorsqu’il s’agit de surveiller des environnements externes au-delà d’AWS, Security Hub s’appuiera probablement sur des intégrations et une télémétrie standardisée. La plupart des solutions de sécurité multicloud récupèrent les données via des API d’autres fournisseurs de cloud, plates-formes de sécurité et outils de surveillance d’entreprise « , a expliqué Devroop Dhar, co-fondateur et PDG de Primus Partners.
« Par exemple, Security Hub ingérerait des données provenant de plates-formes de gestion des vulnérabilités, d’outils de sécurité des points finaux, de systèmes d’identité et de solutions de gestion de configuration. AWS dispose d’un écosystème de partenaires solide, donc l’intégration avec les technologies de sécurité existantes sera probablement un facteur important », a ajouté Dhar.
Gogia a noté que Security Hub peut également analyser les actifs accessibles depuis Internet et ajouter du contexte sur les voies d’exposition. Cette technique fonctionne au-delà des frontières de l’infrastructure, car l’exposition à Internet peut être observée de l’extérieur, quel que soit l’endroit où l’infrastructure est hébergée.
« Si une charge de travail est visible de l’extérieur, le risque existe quel que soit le cloud qui l’héberge », a-t-il déclaré.
Impact sur la sécurité opérationnelle
« Comme les entreprises utilisent plusieurs cloud et environnements hybrides pour leurs charges de travail, il y a un basculement constant entre différents tableaux de bord et journaux. Avoir une vue centrale de tous les risques dans tous les cloud est hautement souhaitable car cela permet de réduire les coûts opérationnels. L’idée n’est pas seulement d’avoir une visibilité mais aussi de comprendre quelles vulnérabilités représentent le niveau de risque le plus élevé pour l’organisation », a ajouté Dhar.
Gogia a noté que la gestion de plusieurs environnements cloud contribue également à la fatigue des alertes, qui est devenue l’une des caractéristiques déterminantes des centres d’opérations de sécurité modernes. Les équipes traitent fréquemment d’énormes volumes d’alertes tout en disposant de ressources limitées pour les étudier de manière approfondie. Les plates-formes qui combinent la télémétrie provenant de plusieurs sources en une seule vue opérationnelle peuvent contribuer à réduire ces frictions.
Cependant, si l’idée de centralisation est séduisante, elle présente également des considérations pratiques.
La visibilité est aussi forte que les intégrations qui la sous-tendent. Si certaines charges de travail ou outils ne sont pas correctement intégrés, cela peut créer un faux sentiment d’exhaustivité.
Lorsque les équipes de sécurité s’appuient sur une interface unique pour interpréter la télémétrie et coordonner la réponse, la disponibilité de cette interface devient également critique.
« Les organisations doivent s’assurer qu’elles peuvent toujours accéder à la télémétrie et répondre aux incidents même si leur console principale devient indisponible. Le maintien de chemins d’accès alternatifs et de pipelines de télémétrie indépendants devient un élément essentiel d’une bonne architecture de sécurité », a ajouté Gogia.
Dhar a noté que l’intégration de dizaines d’outils sur une seule plateforme n’est pas toujours simple. Les RSSI évalueront également le risque de dépendance envers un fournisseur, dans la mesure où les flux de travail de sécurité qui deviennent étroitement liés à la plate-forme d’un fournisseur peuvent être difficiles à abandonner ultérieurement.
Cette décision reflète également une tendance plus large du secteur vers des plates-formes de sécurité consolidées qui regroupent plusieurs fonctionnalités sous une seule couche opérationnelle. À mesure que les environnements d’entreprise deviennent plus complexes, les fournisseurs combinent de plus en plus la détection des menaces, la gestion de la posture et l’analyse des vulnérabilités dans des architectures de sécurité unifiées.
« Le secteur a vu depuis des années des capacités multicloud de la part de fournisseurs de sécurité purement. Microsoft Defender for Cloud et Google Cloud Security Command Center ont également étendu leur portée au-delà de leurs environnements cloud natifs », a déclaré Amit Jaju, partenaire mondial/directeur général principal – Inde chez Ankura Consulting.
