CrowdStrike presenta il primo threat hunting in cloud (e non solo)

CrowdStrike in occasione del AWS re:Inforce 2022 ha annunciato una novità davvero interessante: Falcon OverWatch Cloud Threat Hunting. È il primo servizio stand-alone di threat hunting per scoprire le minacce nascoste negli ambienti cloud. Inoltre annuncia una espansione delle funzionalità CNAPP per la protezione dei container e per aiutare gli sviluppatori a neutralizzare le vulnerabilità del cloud. Tutte novità per rendere il cloud più sicuro.

CrowdStrike presenta Falcon OverWatch Cloud Threat Hunting

Oggi tantissimi programmatori e CISO si sono riuniti a Boston per seguire AWS re:Inforce 2022, l’evento di Amazon a cui CrowdStrike ha partecipato in qualità di sponsor diamond. Un momento per parlare di sicurezza nel cloud, iniziato proprio ponendo l’attenzione sul fatto che bisogna cambiarne il paradigma. Non possiamo più pensare di costruire e poi mettere in sicurezza, dobbiamo mettere la cybersecurity al centro delle architetture.

Fra keynote e approfondimenti, il focus su come proteggere gli ambienti cloud ha toccato nuove funzionalità e best practice. Ma CrowdStrike ha voluto presentare anche un paio di nuove soluzioni che permettono di portare la cloud security a una livello superiore.

Il “piatto forte” senza dubbio è Falcon OverWatch Cloud Threat Hunting. Una soluzione che rappresenta un unicum nel settore. Infatti, questa è la prima soluzione con indicatori di attacco (IOAs) orientati al cloud per avere un piano di controllo e spionaggio degli avversari. Un prodotto che permette un livello di visibilità senza pari negli ambienti cloud. E che permette di scovare e colpire anche le minacce più sofisticate.

Una soluzione avanzata per gli ambienti cloud

Le soluzioni cloud-native hanno garantito business continuity e resilienza soprattutto in questi anni difficili, non solo economicamente. Ma hanno allargato la superficie di attacco e lasciato spesso all’oscuro i team di sicurezza. Per questo serve una soluzione per monitorare le minacce più sofisticate sul cloud, 24 ore su 24.

Gli esperti in caccia alle minacce di Falcon OverWatch sfruttano le funzionalità della Cloud Native Application Protection Platform (CNAPP). In questo modo possono indagare comportamenti sospetti, anomali e nuove tecniche di spionaggio. Questo servizio sarà attivo 24x7x365 e permette di tutelare i nostri dati in cloud in maniera proattiva.

Questo assicura protezione sulle attività avversarie che sfruttano Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure e anche altri fornitori. Inoltre, permette di sventare attività di “hands-on-keyboard” e zero-day che sfruttano e compromettono i flussi di lavoro e i container in cloud.

Il servizio stana anche le vulnerabilità nel control plane e in ambiente serverless, le configurazioni errate, le anomalie del comportamento delle applicazioni, le fughe dei container, le escalation dei privilegi, le compromissioni dei nodi e molto altro. Senza dimenticare gli attacchi che sfruttano le risorse IT tradizionali per avere l’accesso ai sistemi in cloud.

Shawn Henry, CrowdStrike chief security officer & presidente di CrowdStrike Service pensa che questa tecnologia possa “chiudere il divario tra il rilevamento e la risposta“. Proprio perché “le aziende ottengono così accesso a un alto livello di competenza sul cloud; 24 ore su 24, senza costosi investimenti in assunzioni, formazione e strumenti necessari per combattere con successo gli avversari. Crediamo che Falcon OverWatch Cloud Threat Hunting sia un potente moltiplicatore di forze per le aziende alla ricerca di un servizio dedicato in grado di proteggere i loro ambienti cloud”.

CrowdStrike offre competenze elevate nell’ambito del threat hunting sul cloud

Questa soluzione ha ricevuto già i primi test sul campo. Come spiega il CIO della città di Las Vegas Michael Sherwood: “È difficile trovare e mantenere competenze d’élite nella caccia alle minacce e Falcon OverWatch è stata un’estensione perfetta del nostro team di sicurezza, per individuare e bloccare le minacce sofisticate del cloud”.

Forti competenze sono necessarie perché gli ambienti cloud diventano sempre più complessi. Come spiega Craig Robinson, Research Vice President, Security Services di IDC, “La complessità del cloud non accenna a diminuire e la superficie di attacco continua a crescere in modo esponenziale, ed è ciò di cui gli avversari hanno approfittato”. Per questo c’è bisogno di avere una risposta professionale. “Possedere la giusta tecnologia e i giusti processi in atto sono entrambi elementi che costituiscono la cybersecurity, ma le organizzazioni hanno bisogno anche delle giuste competenze per combattere le sofisticate minacce del cloud”.

Trovate maggior informazioni su Falcon OverWatch Cloud Threat Hunting sul sito ufficiale.

I miglioramenti di CrowdStrike Cloud Security

Al re:Inforce 2022 di AWS, CrowStrike ha anche presentato potenti funzionalità Cloud Native Application Protection Platform (CNAPP). Questi miglioramenti di CrowdStrike Cloud Security estendono il supporto ad Amazon Elastic Container Service (ECS) all’interno di AWS Fargate. In questo modo è possibile scansionare otto nuove collezioni (registry) di container e si può anche abilitare la Software Composition Analysis (SCA) per il software open source.

L’adozione dei container continua a crescere. Ma servono strumenti per avere maggiore visibilità nelle applicazioni al loro interno e per garantire la sicurezza. Con il supporto per Amazon ECS, che si aggiunge a quello per Amazon Elastic Kubernetes Service (Amazon EKS), la gestione dei container diventa più sicura.

Amol Kulkarni, Chief Product and Engineering Officer di CrowdStrike spiega che “Trovandosi in posizione di vantaggio e potendo quindi valutare proattivamente i container, i clienti di CrowdStrike saranno in grado di identificare ogni vulnerabilità, malware integrati o dati segreti prima che vengano distribuiti. Molti dei nostri clienti si affidano ad AWS per modernizzare la loro infrastruttura IT, per cui è fondamentale espandere il nostro supporto a servizi come Amazon ECS”.

Le nuove funzionalità

Solo CrowdStrike offre funzionalità CNAPP agentless e agent-based attraverso una piattaforma unificata e integrata. Fra le funzionalità più importanti in arrivo con questa release, segnaliamo:

• Il supporto per AWS Fargate con Amazon ECS che, come detto, si affianca a quello per Amazon EKS.
• L’analisi della composizione software, con un supporto che comprende linguaggi con interpreti open-source come Go, JavaScript, Java, Python e Ruby.
• Scansione delle immagini per Docker Registry 2.0, IBM Cloud Container Registry, JFrog Artifactory, Oracle Container Registry, Red Hat OpenShift, Red Hat Quay, Sonatype Nexus Repository e VMware Harbor Registry.

Doug Cahill, Vice President, Analyst Services and Senior Analyst di Enterprise Strategy Group (ESG) spiega il vantaggio anche culturale. “Vista la crescente adozione dell’open source e dei container, le aziende sono alla ricerca di una CNAPP che consenta loro di ottenere completa visibilità nella loro pipeline di sviluppo. Ciò favorisce la diffusione di una cultura DevSecOps, in cui gli sviluppatori incorporano la sicurezza come parte del loro flusso di lavoro quotidiano”.

L’approccio CNAPP prevede sia soluzioni agent–based (Falcon CWP) che agentless (Falcon Horizon – CSPM) fornite attraverso la piattaforma Falcon, che offre flessibilità per gestire la sicurezza di ogni azienda.

Se cercate ulteriori informazioni su CrowdStrike, le trovate a questo indirizzo. Mentre qui potete recuperare gli altri interventi del AWS re:Inforce.