La implementación de su enfoque de seguridad dependerá de cómo pueda traducir su enfoque de la estrategia a la realidad. Como parte de esto, tendrá que tomar decisiones sobre qué herramientas usar en función de las funciones que cubren, cómo lo ayudan a crear y usar datos y cómo funcionan. Esta última parte es importante ya que todos los profesionales de la seguridad tienen sus propias preferencias. Uno de los grandes debates aquí es si usa herramientas basadas en agentes o sin agentes.
El uso de herramientas de seguridad que dependen de agentes puede ser un problema para algunos profesionales de la seguridad, mientras que otros confiarán en su herramienta basada en agentes. de elección, y tendrías que quitárselo de las manos. El desafío aquí es cuando tiene que considerar una combinación de entornos complejos, objetivos de desarrollo de software más rápidos que respaldar, presiones de seguridad en tiempo real con las que lidiar y más datos de los que sabe qué hacer. Entonces, ¿qué enfoque debe elegir?
La seguridad sin agentes lo pone en marcha rápidamente
Comenzar con los enfoques sin agentes es rápido. Debido a que no instala nada, puede comenzar a obtener datos rápidamente y luego usarlos para mejorar su postura de seguridad en un corto período de tiempo. Los enfoques de seguridad sin agente funcionan al obtener datos desde fuera del dispositivo o servicio que está viendo y luego proporcionarle esa información de manera que pueda tomar decisiones rápidamente.
El beneficio de la ausencia de agente es que es de bajo contacto y rápido de implementar para casos de uso como la seguridad en la nube. Puede resolver el problema de la’fruta madura’que existe en torno a la evaluación periódica de la seguridad en la nube. Los métodos de exploración lateral y basados en API también proporcionan un sólido punto de partida para observar la visibilidad de la seguridad en la nube en torno a configuraciones y vulnerabilidades. Otro beneficio adicional es que no aumenta la carga de trabajo en la máquina o el dispositivo que está mirando, lo que puede ser importante cuando se trata de ejecutar en la nube.
El desafío con los enfoques sin agente es que no proporcione tanta información sobre lo que sucede dentro de una instancia o dispositivo mientras se está ejecutando. Debido a que debe confiar en los datos que puede percibir desde el exterior, es posible que no pueda obtener el nivel de detalle que necesita, especialmente para las condiciones de tiempo de ejecución. Cuando desee proteger los servicios en ejecución, también denominados”derechos de protección”, la ausencia de agente puede no ser suficiente.
El otro desafío es que confiará en el nivel de datos que su herramienta puede obtener de sus fuentes. , como las API en la nube. Para algunas cargas de trabajo en las que está’totalmente involucrado’en la nube, esto podría ser suficiente, pero para entornos más complejos, podría generar brechas. También tendrá problemas con los entornos de tiempo de ejecución y los informes en tiempo real sobre los problemas.
Agente, informes de servicio
Las herramientas de seguridad basadas en agentes utilizan un pequeño software paquete por dispositivo o activo para obtener los datos que necesita. El beneficio de un agente es que puede proporcionar ese nivel de detalle que los modelos sin agente no pueden. En la práctica, esto significa que puede usar el agente para proporcionar información sobre todas las interacciones y llamadas que se realizan en ese dispositivo o máquina.
En el pasado, aquí ha sido donde gran parte de la hostilidad hacia las herramientas basadas en agentes ha venido. Cada agente tendrá su propia huella y sobrecarga en el dispositivo, máquina o contenedor de software en el que está instalado, lo que puede afectar el rendimiento. En los viejos tiempos de los antivirus, estos agentes podían infligir una sobrecarga tal que degradarían la experiencia de los usuarios sin proporcionar una gran cantidad de valor. Sin embargo, a medida que los sistemas informáticos aumentaron en potencia y los agentes se volvieron más inteligentes, el nivel real de sobrecarga se redujo hasta ser insignificante.
Otra pesadilla para los enfoques basados en agentes fue la sobrecarga para construir e implementar aquellos sistemas donde eran necesarios. Si tuvo que instalar todas y cada una de las veces, entonces el tiempo fue significativo. Sin embargo, este problema se ha resuelto en gran medida al incluir agentes dentro de las imágenes base para que puedan implementarse e instalarse automáticamente cuando se necesiten.
Para activos modernos como instancias en la nube o contenedores de software, se puede incluir el agente de seguridad. como estándar e implementado cuando se implementan nuevos contenedores. Esto es particularmente importante cuando tiene aplicaciones que pueden flexionarse hacia arriba y hacia abajo según la demanda, o donde tiene una infraestructura sin servidor para respaldar sus aplicaciones en ejecución. Sin un agente en el lugar, la detección de un problema dependería de un análisis programado o de una alerta, que puede retrasarse por horas o días. En una era en la que un depósito S3 público o una base de datos expuesta se descubren en minutos, el escaneo estático no es suficiente para prevenir ataques.
Combinación de enfoques con agente y sin agente
En el espíritu de tenerlo todo, la combinación de seguridad basada en agentes y sin agentes puede respaldar un mejor enfoque que confiar en uno u otro enfoque solo. Al obtener datos de múltiples fuentes y ponerlos en contexto, puede obtener una mejor comprensión de su postura de seguridad y dónde debe tomar medidas.
La seguridad en la nube se ha fragmentado desde el principio. Existe una gran cantidad de soluciones puntuales que cubren un subconjunto de la seguridad en la nube, pero las empresas desean simplificar sus implementaciones y reducir la cantidad de partes móviles que tienen que administrar activamente, incluidas las herramientas. En respuesta a este entorno complejo, el mercado de la plataforma de protección de aplicaciones nativas de la nube (CNAPP) ha evolucionado para consolidar las herramientas puntuales basadas en agentes y sin agentes que existen en torno a las posturas de seguridad en la nube y la protección de la carga de trabajo.
Las CNAPP combinan las Lo mejor de las herramientas de seguridad basadas en agentes y sin agentes para cubrir todo el ciclo de vida de las cargas de trabajo y la seguridad en la nube, además de respaldar un enfoque más completo para detectar posibles problemas. Esto implica observar los datos de telemetría que brindan los servicios en la nube, así como realizar una evaluación previa a la implementación y un análisis de seguridad del tiempo de ejecución de producción. Esto ayuda a los profesionales de la seguridad a observar el ciclo de vida completo de sus aplicaciones y a que permanezcan seguras a lo largo del tiempo.
Aprovechar al máximo su enfoque
Adopción de agente Las herramientas de seguridad sin agente y basadas en el marco CNAPP deberían ayudar a todos a obtener lo que necesitan para ser lo más efectivos posible en torno a la seguridad. El mayor problema para muchos equipos será cómo sus operaciones pueden funcionar rápidamente en torno a posibles amenazas de seguridad. Obtener los datos de telemetría correctos puede ayudar aquí, además de proporcionar el contexto adecuado para esos datos a lo largo del tiempo.
En general, el argumento sobre los enfoques basados en agentes y sin agentes será menos importante con el paso del tiempo. tiempo. El desafío al que se enfrentarán los equipos gira en torno a cómo obtener los datos correctos que marcarán la diferencia en sus operaciones y cómo hacer que esos datos sean útiles y utilizables para los equipos de seguridad en su trabajo. Para respaldar los objetivos de seguridad modernos, como cambiar la seguridad a la izquierda antes en el proceso de desarrollo y proteger a la derecha para que pueda cubrir los dispositivos o servicios en ejecución, necesita la combinación correcta de datos, conocimiento y velocidad.
Crédito de imagen: Wayne Williams
Anna Belak es Directora de Liderazgo de Pensamiento, Sysdig. Anna tiene casi diez años de experiencia investigando y asesorando a organizaciones sobre la adopción de la nube con un enfoque en las mejores prácticas de seguridad. Como analista de Gartner, Anna pasó seis años ayudando a más de 500 empresas con iniciativas de administración de vulnerabilidades, monitoreo de seguridad e DevSecOps. La investigación y las charlas de Anna se han utilizado para transformar las estrategias de TI de las organizaciones y su agenda de investigación ayudó a dar forma a los mercados. Anna es la Directora de Liderazgo de Pensamiento en Sysdig y utiliza su profundo conocimiento de la industria de la seguridad para ayudar a los profesionales de TI a tener éxito en su viaje nativo en la nube. Anna tiene un doctorado en ingeniería de materiales de la Universidad de Michigan, donde desarrolló métodos computacionales para estudiar las células solares y las baterías recargables.