L’implementazione del tuo approccio alla sicurezza dipenderà da come puoi tradurre il tuo approccio dalla strategia alla realtà. Come parte di questo, dovrai prendere decisioni su quali strumenti utilizzare in base alle funzioni che coprono, come ti aiutano a creare e utilizzare i dati e come funzionano. Quest’ultima parte è importante poiché tutti i professionisti della sicurezza hanno le proprie preferenze. Uno dei grandi dibattiti qui è se utilizzare strumenti basati su agenti o senza agenti.
L’utilizzo di strumenti di sicurezza che si basano su agenti può essere un problema per alcuni professionisti della sicurezza, mentre altri giureranno per il loro strumento basato su agenti di scelta, e dovresti strapparglielo dalle mani. La sfida qui è quando devi considerare una combinazione di ambienti complessi, obiettivi di sviluppo software più rapidi da supportare, pressioni sulla sicurezza in tempo reale da affrontare e più dati di quanti ne sai di cosa fare. Quindi quale approccio dovresti scegliere?
La sicurezza senza agente ti consente di essere subito operativo
Iniziare con gli approcci senza agente è veloce. Poiché non installi nulla, puoi iniziare a ricevere i dati rapidamente e quindi utilizzarli per migliorare la tua posizione di sicurezza in un breve lasso di tempo. Gli approcci alla sicurezza senza agente funzionano ottenendo dati dall’esterno del dispositivo o servizio che stai guardando e fornendoti tali informazioni in modo che tu possa prendere decisioni rapidamente.
Il vantaggio di agentless è che è low touch e veloce da implementare per casi d’uso come la sicurezza del cloud. Puoi risolvere il problema del”frutto basso”che esiste intorno alla valutazione periodica della sicurezza del cloud. La scansione laterale e i metodi basati su API forniscono anche un solido punto di partenza per esaminare la visibilità della sicurezza del cloud in merito a configurazioni e vulnerabilità. Un altro vantaggio collaterale è che non aumenta il carico di lavoro sulla macchina o sul dispositivo che stai guardando, il che può essere importante quando si tratta di eseguire nel cloud.
La sfida con gli approcci senza agente è che non forniscono informazioni approfondite su ciò che accade all’interno di un’istanza o di un dispositivo mentre è in esecuzione. Poiché devi fare affidamento sui dati che puoi percepire dall’esterno, potresti non essere in grado di ottenere il livello di dettaglio di cui hai bisogno, in particolare per le condizioni di runtime. Quando vuoi proteggere quei servizi in esecuzione, altrimenti definito”diritto di schermatura”, l’agente senza agente potrebbe non essere sufficiente.
L’altra sfida è che dovrai fare affidamento sul livello di dati che il tuo strumento può raccogliere dalle sue fonti , come le API cloud. Per alcuni carichi di lavoro in cui sei”tutto compreso”sul cloud, questo potrebbe essere sufficiente, ma per ambienti più complessi potrebbe potenzialmente portare a lacune. Avrà anche difficoltà con gli ambienti di runtime e la segnalazione in tempo reale dei problemi.
Agente, segnalazione per dovere
Gli strumenti di sicurezza basati su agente utilizzano un piccolo software pacchetto per dispositivo o risorsa per ottenere i dati di cui hai bisogno. Il vantaggio di un agente è che può fornire quel livello di dettaglio che i modelli senza agente non possono. In pratica, ciò significa che puoi utilizzare l’agente per fornire informazioni su tutte le interazioni e le chiamate in corso su quel dispositivo o computer.
In passato, questo è stato il luogo in cui si è verificata gran parte dell’ostilità verso strumenti basati su agenti è venuto da. Ogni agente avrà il proprio footprint e sovraccarico sul dispositivo, sulla macchina o sul contenitore software in cui è installato, il che può influire sulle prestazioni. Ai vecchi tempi dell’antivirus, questi agenti potevano infliggere un sovraccarico tale da degradare l’esperienza per gli utenti senza fornire un enorme valore. Tuttavia, poiché i sistemi informatici sono aumentati di potenza e gli agenti sono diventati più intelligenti, l’effettivo livello di sovraccarico è diminuito fino a diventare trascurabile.
Un altro problema per gli approcci basati su agenti era il sovraccarico per costruire e distribuire quei sistemi in cui erano necessari. Se dovevi installare ogni volta, il tempo era significativo. Tuttavia, questo problema è stato ampiamente risolto includendo gli agenti all’interno delle immagini di base in modo che possano essere distribuiti e installati automaticamente quando sono necessari.
Per le risorse moderne come le istanze cloud o i contenitori software, è possibile includere l’agente di sicurezza come standard e implementato quando vengono distribuiti nuovi contenitori. Ciò è particolarmente importante quando si dispone di applicazioni che potrebbero essere flessibili in base alla domanda o quando si dispone di un’infrastruttura serverless per supportare l’esecuzione delle applicazioni. Senza un agente, il rilevamento di un problema dipenderebbe dalla scansione pianificata o dall’attivazione di un avviso, che può essere ritardato di ore o giorni. In un’era in cui un bucket S3 pubblico o un database esposto viene scoperto in pochi minuti, la scansione statica non è sufficiente per prevenire gli attacchi.
Combinazione di approcci agent e agentless
Nello spirito di avere tutto, la combinazione di sicurezza basata su agente e senza agente può supportare un approccio migliore rispetto all’affidarsi solo all’uno o all’altro approccio. Ottenendo i dati da più fonti e inserendoli nel contesto, puoi ottenere una migliore comprensione della tua posizione di sicurezza e di dove devi agire.
La sicurezza del cloud è stata frammentata sin dall’inizio. Esiste un gran numero di soluzioni puntuali che coprono un sottoinsieme della sicurezza cloud, ma le aziende vogliono semplificare le loro implementazioni e ridurre il numero di parti mobili che devono gestire attivamente, inclusi gli strumenti. In risposta a questo ambiente complesso, il mercato CNAPP (Cloud-Native Application Protection Platform) si è evoluto per consolidare gli strumenti puntuali basati su agente e senza agente che esistono intorno alle posizioni di sicurezza del cloud e alla protezione del carico di lavoro.
Le CNAPP combinano il il meglio degli strumenti di sicurezza agent-based e agentless per coprire l’intero ciclo di vita dei carichi di lavoro e della sicurezza del cloud, oltre a supportare un approccio più completo al rilevamento di potenziali problemi. Ciò comporta l’esame dei dati di telemetria forniti dai servizi cloud, nonché l’esecuzione sia della valutazione pre-distribuzione che dell’analisi della sicurezza del runtime di produzione. Questo aiuta i professionisti della sicurezza a esaminare l’intero ciclo di vita delle loro applicazioni e a garantire che rimangano sicure nel tempo.
Ottenere il massimo dal tuo approccio
Adozione dell’agente Gli strumenti di sicurezza basati su e senza agenti nell’ambito del framework CNAPP dovrebbero aiutare tutti a ottenere ciò di cui hanno bisogno per essere il più efficaci possibile in termini di sicurezza. Il problema più grande per molti team riguarderà il modo in cui le loro operazioni possono funzionare rapidamente intorno a potenziali minacce alla sicurezza. Ottenere i giusti dati di telemetria può aiutare qui, oltre a fornire il giusto contesto per tali dati nel tempo.
Nel complesso, l’argomento sugli approcci basati su agenti e senza agenti diventerà meno importante nel tempo. La sfida che i team dovranno affrontare riguarda come ottenere i dati giusti che faranno la differenza per le loro operazioni e come rendere tali dati utili e utilizzabili per i team di sicurezza nel loro lavoro. Per supportare i moderni obiettivi di sicurezza, come spostare la sicurezza a sinistra nelle fasi iniziali del processo di sviluppo e schermare a destra in modo da poter coprire i dispositivi o i servizi in esecuzione, è necessaria la giusta combinazione di dati, insight e velocità.
Credito immagine: Wayne Williams
Anna Belak è direttrice della leadership di pensiero, Sysdig. Anna ha quasi dieci anni di esperienza nella ricerca e nella consulenza alle organizzazioni sull’adozione del cloud, con particolare attenzione alle best practice di sicurezza. In qualità di analista Gartner, Anna ha trascorso sei anni aiutando più di 500 aziende con la gestione delle vulnerabilità, il monitoraggio della sicurezza e le iniziative DevSecOps. Le ricerche ei discorsi di Anna sono stati utilizzati per trasformare le strategie IT delle organizzazioni e il suo programma di ricerca ha contribuito a plasmare i mercati. Anna è Director of Thought Leadership presso Sysdig e utilizza la sua profonda conoscenza del settore della sicurezza per aiutare i professionisti IT ad avere successo nel loro viaggio verso il cloud-native. Anna ha conseguito un dottorato di ricerca in ingegneria dei materiali presso l’Università del Michigan, dove ha sviluppato metodi computazionali per studiare celle solari e batterie ricaricabili.