Amazon Web Services расширяет AWS Security Hub, чтобы он функционировал как централизованная платформа операций безопасности, способная агрегировать сигналы риска в средах с несколькими облаками.
Обновленный Security Hub представит единый операционный уровень, который предоставит группам безопасности аналитику рисков практически в реальном времени, автоматизированный анализ и приоритезированные выводы.
Поскольку корпоративные рабочие нагрузки распространились на нескольких поставщиков облачных услуг, расширение Security Hub направлено на устранение растущей сложности, с которой сталкиваются руководители по информационной безопасности (CISO), и на помощь им в сосредоточении внимания на управлении рисками, а не инструментами, говорится в сообщении компании в блоге.
AWS Security Hub в новом облике
Поскольку группы безопасности изо всех сил пытаются управлять множеством инструментов, расширенный Security Hub вводит общий уровень данных, предназначенный для унификации сигналов безопасности из всех корпоративных рабочих нагрузок. Затем он предложит единое представление о рисках для групп безопасности вместо фрагментированного набора консолей.
Группы безопасности также смогут управлять состоянием безопасности своего облака с помощью проверок CSPM в Security Hub, которые обеспечивают видимость состояния и расширяют управление уязвимостями за счет расширенных возможностей Amazon Inspector, включая сканирование виртуальных машин, сканирование образов контейнеров и сканирование бессерверных рабочих нагрузок, сообщила компания.
Изначально Security Hub играл более узкую роль. Но в декабре прошлого года AWS объединила сигналы от своих служб безопасности в единый интерфейс для автоматического анализа угроз, уязвимостей, некорректных настроек и раскрытия конфиденциальных данных. Этот список служб включает Amazon GuardDuty, Inspector, Security Hub Cloud Security Posture Management и Amazon Macie.
Последнее расширение для нескольких облаков будет построено на этой основе, а также на более раннем запуске AWS Security Hub Extended, который позволяет предприятиям развертывать сторонние инструменты безопасности и управлять ими непосредственно через Security Hub по заранее согласованным ценам с оплатой по мере использования без долгосрочных обязательств.
Курируемый портфель включает таких поставщиков, как CrowdStrike, Okta, Proofpoint, SailPoint, Splunk и Zscaler, что позволяет организациям расширить видимость безопасности за пределы сред AWS.
Мониторинг безопасности в разных облаках
Хотя AWS не предоставила технических подробностей о том, как она будет выявлять уязвимости за пределами своей нативной среды, Санчит Вир Гогиа, главный аналитик Greyhound Research, заявил, что видимость в нескольких облаках обычно достигается путем сбора сигналов из нескольких систем безопасности и преобразования их в согласованный формат для совместного анализа.
Ключевым фактором этого подхода является Open Cybersecurity Schema Framework, который определяет общую структуру для представления событий безопасности и уязвимостей.
«Когда дело доходит до мониторинга внешних сред за пределами AWS, Security Hub, вероятно, будет полагаться на интеграции и стандартизированную телеметрию. Большинство решений по обеспечению безопасности в нескольких облаках получают данные через API от других поставщиков облачных услуг, платформ безопасности и корпоративных инструментов мониторинга», — пояснил Девруп Дхар, соучредитель и генеральный директор Primus Partners.
«Например, Security Hub будет принимать данные от платформ управления уязвимостями, инструментов безопасности конечных точек, систем идентификации и решений по управлению конфигурацией. У AWS надежная партнерская экосистема, поэтому интеграция с существующими технологиями безопасности, вероятно, будет важным фактором», — добавил Дхар.
Гогиа отметил, что Security Hub также может анализировать активы, доступные из Интернета, и добавлять контекст о путях воздействия. Этот метод работает в границах инфраструктуры, поскольку доступность в Интернете может наблюдаться извне, независимо от того, где размещена инфраструктура.
«Если рабочая нагрузка видна извне, риск существует независимо от того, какое облако ее размещает», — сказал он.
Влияние на операционную безопасность
Для руководителей по безопасности и CISO расширение AWS Security Hub отражает более широкий сдвиг в корпоративных операциях по обеспечению безопасности. Агрегация сигналов безопасности на единой платформе может помочь группам безопасности сопоставлять угрозы, расставлять приоритеты рисков и оптимизировать реагирование на инциденты в распределенных средах.
«Поскольку предприятия используют несколько облаков и гибридные среды для своих рабочих нагрузок, происходит постоянное переключение между различными панелями мониторинга и журналами. Наличие централизованного представления обо всех рисках во всех облаках очень желательно, поскольку это помогает снизить операционные расходы. Идея состоит не только в том, чтобы иметь видимость, но и в том, чтобы понять, какие уязвимости представляют наибольший риск для организации», — добавил Дхар.
Гогиа отметил, что управление несколькими облачными средами также способствует усталости от оповещений, которая стала одной из определяющих характеристик современных центров операций по безопасности. Команды часто обрабатывают огромные объемы оповещений, имея при этом ограниченные ресурсы для их тщательного изучения. Платформы, объединяющие телеметрию из нескольких источников в единое операционное представление, могут помочь уменьшить это трение.
Однако, хотя идея централизации привлекательна, существуют и практические соображения.
Видимость так же сильна, как и интеграции, лежащие в ее основе. Если некоторые рабочие нагрузки или инструменты интегрированы неправильно, это может создать ложное ощущение полноты.
Когда группы безопасности полагаются на единый интерфейс для интерпретации телеметрии и координации реагирования, доступность этого интерфейса также становится критически важной.
«Организации должны гарантировать, что они по-прежнему могут получать доступ к телеметрии и реагировать на инциденты, даже если их основная консоль станет недоступной. Поддержание альтернативных путей доступа и независимых конвейеров телеметрии становится неотъемлемой частью надежной архитектуры безопасности», — добавил Гогиа.
Дхар отметил, что интеграция десятков инструментов в единую платформу не всегда проста. CISO также будут учитывать риск привязки к поставщику, поскольку рабочие процессы безопасности, тесно связанные с платформой одного поставщика, может быть трудно перенести позже.
Этот шаг также отражает общую тенденцию отрасли к консолидированным платформам безопасности, которые объединяют несколько возможностей под единым операционным уровнем. По мере усложнения корпоративных сред поставщики все чаще объединяют обнаружение угроз, управление состоянием и анализ уязвимостей в единые архитектуры безопасности.
«Отрасль уже много лет наблюдает возможности работы с несколькими облаками от специализированных поставщиков решений по безопасности. Microsoft Defender for Cloud и Google Cloud Security Command Center также расширили свой охват за пределы своих нативных облачных сред», — сказал Амит Джаджу, глобальный партнер/старший управляющий директор по Индии в Ankura Consulting.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Nidhi Singal
