Implementar sua abordagem de segurança dependerá de como você pode traduzir sua abordagem da estratégia para a realidade. Como parte disso, você terá que tomar decisões sobre quais ferramentas usar com base nas funções que cobrem, como ajudam a criar e usar dados e como funcionam. Esta última parte é importante porque todos os profissionais de segurança têm suas próprias preferências. Um dos grandes debates aqui é se você usa ferramentas baseadas em agente ou sem agente.
Usar ferramentas de segurança que dependem de agentes pode ser um problema para alguns profissionais de segurança, enquanto outros juram por sua ferramenta baseada em agente escolha, e você teria que arrancá-lo de suas mãos. O desafio aqui é quando você tem uma combinação de ambientes complexos a considerar, metas de desenvolvimento de software mais rápidas para suportar, pressões de segurança em tempo real para enfrentar e mais dados do que você sabe como lidar. Então, qual abordagem você deve escolher?
A segurança sem agente coloca você em funcionamento rapidamente
É rápido começar a usar abordagens sem agente. Como você não instala nada, pode começar a obter dados rapidamente e usar isso para melhorar sua postura de segurança em um curto período de tempo. As abordagens de segurança sem agente funcionam obtendo dados de fora do dispositivo ou serviço que você está visualizando e, em seguida, fornecendo essas informações para que você possa tomar decisões rapidamente.
O benefício do agente sem agente é que é de baixo contato e rápido de implementar para casos de uso como segurança na nuvem. Você pode resolver o problema do’fruto mais fácil’que existe em torno da avaliação periódica de segurança na nuvem. A varredura lateral e os métodos baseados em API também fornecem um ponto de partida sólido para observar a visibilidade da segurança na nuvem em torno de configurações e vulnerabilidades. Outro benefício colateral é que ele não aumenta a carga de trabalho na máquina ou dispositivo que você está visualizando, o que pode ser importante quando se trata de execução na nuvem.
O desafio das abordagens sem agente é que elas não fornecem muito insight sobre o que está acontecendo dentro de uma instância ou dispositivo enquanto ele está em execução. Como você precisa confiar nos dados que pode perceber de fora, talvez não consiga obter o nível de detalhe necessário, principalmente para condições de tempo de execução. Quando você deseja proteger os serviços em execução, também chamados de’direito de proteção’, o agente sem agente pode não ser suficiente.
O outro desafio é que você dependerá do nível de dados que sua ferramenta pode obter de suas fontes , como APIs de nuvem. Para algumas cargas de trabalho em que você está’all in’na nuvem, isso pode ser suficiente, mas para ambientes mais complexos, isso pode levar a lacunas. Ele também terá problemas com ambientes de tempo de execução e relatórios em tempo real sobre problemas.
Agente, relatórios de serviço
Ferramentas de segurança baseadas em agente usam um pequeno software pacote por dispositivo ou ativo para obter os dados de que você precisa. O benefício de um agente é que ele pode fornecer aquele nível de detalhe que os modelos sem agente não podem. Na prática, isso significa que você pode usar o agente para fornecer informações sobre todas as interações e chamadas que estão ocorrendo naquele dispositivo ou máquina.
No passado, era onde havia muita hostilidade em direção às ferramentas baseadas em agentes. Cada agente terá seu próprio espaço e sobrecarga no dispositivo, máquina ou contêiner de software em que está instalado, o que pode afetar o desempenho. Nos velhos tempos do antivírus, esses agentes podem infligir uma sobrecarga tão grande que degradariam a experiência dos usuários, embora não fornecessem uma grande quantidade de valor. No entanto, como os sistemas de computação aumentaram em poder e os agentes ficaram mais inteligentes, o nível real de sobrecarga diminuiu para ser insignificante.
Outro bugbear para abordagens baseadas em agentes foi a sobrecarga para construir e implantar esses sistemas onde eles eram necessários. Se você tivesse que instalar todas as vezes, o tempo era significativo. No entanto, esse problema foi amplamente resolvido com a inclusão de agentes nas imagens de base para que possam ser implantados e instalados automaticamente quando necessários.
Para ativos modernos, como instâncias de nuvem ou contêineres de software, o agente de segurança pode ser incluído como padrão e implementado quando novos contêineres são implantados. Isso é particularmente importante onde você tem aplicativos que podem ser flexionados para cima e para baixo com base na demanda, ou onde você tem uma infraestrutura sem servidor para dar suporte a seus aplicativos em execução. Sem um agente no local, a detecção de um problema dependeria da verificação agendada ou da ocorrência de um alerta, que pode demorar horas ou dias. Em uma era em que um bucket S3 público ou um banco de dados exposto é descoberto em minutos, a varredura estática não é suficiente para evitar ataques.
Combinando abordagens de agente e sem agente
No espírito de ter tudo-combinar a segurança baseada em agente e sem agente pode oferecer suporte a uma abordagem melhor do que depender de uma ou outra abordagem sozinha. Ao obter dados de várias fontes e colocá-los em contexto, você pode entender melhor sua postura de segurança e onde precisa agir.
A segurança na nuvem foi fragmentada desde o início. Há um grande número de soluções pontuais que cobrem um subconjunto de segurança na nuvem, mas as empresas desejam simplificar suas implantações e reduzir o número de partes móveis que precisam gerenciar ativamente, incluindo ferramentas. Em resposta a esse ambiente complexo, o mercado Cloud-Native Application Protection Platform (CNAPP) evoluiu para consolidar as ferramentas pontuais baseadas em agente e sem agente que existem em torno de posturas de segurança em nuvem e proteção de carga de trabalho.
CNAPPs combinam o o melhor das ferramentas de segurança com e sem agente para cobrir todo o ciclo de vida de cargas de trabalho e segurança na nuvem, além de oferecer suporte a uma abordagem mais completa para detectar possíveis problemas. Isso envolve olhar para os dados de telemetria que os serviços de nuvem fornecem, bem como realizar a avaliação pré-implantação e a análise de segurança do tempo de execução da produção. Isso ajuda os profissionais de segurança a analisar todo o ciclo de vida de seus aplicativos e a mantê-los seguros ao longo do tempo.
Obtendo o máximo de sua abordagem
Adoção de agente As ferramentas de segurança baseadas e sem agente sob a estrutura CNAPP devem ajudar todos a obter o que precisam para serem o mais eficazes possível em relação à segurança. O maior problema para muitas equipes será como suas operações podem funcionar com velocidade em relação a possíveis ameaças à segurança. Obter os dados de telemetria corretos pode ajudar aqui, bem como fornecer o contexto certo para esses dados ao longo do tempo.
No geral, o argumento sobre abordagens baseadas em agente e sem agente é aquele que se tornará menos importante ao longo do tempo tempo. O desafio que as equipes enfrentarão é como obter os dados certos que farão a diferença em suas operações e como tornar esses dados úteis e utilizáveis para as equipes de segurança em seu trabalho. Para dar suporte às metas de segurança modernas, como mudar a segurança para a esquerda no início do processo de desenvolvimento e proteger para cobrir os dispositivos ou serviços em execução, você precisa da combinação certa de dados, informações e velocidade.
Crédito da imagem: Wayne Williams
Anna Belak é diretora de liderança inovadora, Sysdig. Anna tem quase dez anos de experiência pesquisando e aconselhando organizações sobre a adoção da nuvem com foco nas melhores práticas de segurança. Como analista do Gartner, Anna passou seis anos ajudando mais de 500 empresas com gerenciamento de vulnerabilidades, monitoramento de segurança e iniciativas de DevSecOps. As pesquisas e palestras de Anna foram usadas para transformar as estratégias de TI das organizações e sua agenda de pesquisa ajudou a moldar os mercados. Anna é diretora de liderança de pensamento da Sysdig, usando seu profundo conhecimento do setor de segurança para ajudar os profissionais de TI a terem sucesso em sua jornada nativa da nuvem. Anna é PhD em Engenharia de Materiais pela Universidade de Michigan, onde desenvolveu métodos computacionais para estudar células solares e baterias recarregáveis.