cloud native application protection platform

Dror Davidoff von Aqua Security über Cloud Native Application Protection Platform

wir sprachen mit dem CEO und Mitbegründer von Aqua Security über Cloud Native Application Protection Platform (CNAPP).

Lieber Dror Davidoff, kannst du uns ein wenig über deinen Hintergrund erzählen und wie es zur Gründung von Aqua kam?

Vor sieben Jahren, als ich auf der Suche nach einem neuen Unternehmen und dem nächsten großen Schritt war, traf ich meinen Mitbegründer Amir Jerbi, und wir verstanden uns sofort. Wir hatten eine ähnliche Vision und erkannten eine große Marktchance: Der Übergang zu nativen Cloud-Technologien steckte damals noch in den Kinderschuhen.

Unternehmen nutzten die Cloud nicht nur für die gemeinsame Nutzung von Computern und Speicherplatz, sondern auch für die Modernisierung ihrer Anwendungsinfrastruktur. Es bestand die Möglichkeit, Sicherheit anders und granularer zu gestalten und sie in den Entwicklungszyklus einzubinden.

Herkömmliche On-Premise-Sicherheitsanbietende verfügten nicht über die Technologie, um native Cloud-Umgebungen zu schützen. Die Anbietenden öffentlicher Clouds waren nicht darauf vorbereitet, ihre eigene Sicherheit bereitzustellen. Es entstand ein enormer Markt und ein Bedarf an einem neuen Sicherheitsansatz, der es Unternehmen ermöglicht, sicher auf Cloud Native umzusteigen. So wurde Aqua Security geboren.

Was ist eine CNAPP oder eine Cloud Native Application Protection Platform und was macht sie einzigartig?

Eine CNAPP ist eine Plattform, die Anwendungen in nativen Cloud-Umgebungen schützt. Es handelt sich dabei um eine Kategorie von Sicherheitslösungen, die bei der Identifizierung, Bewertung, Priorisierung und Anpassung an Risiken in Cloud-nativen Anwendungen, Konfigurationen und Infrastrukturen helfen. Im Gegensatz zu herkömmlichen Ansätzen für die Cloud-Sicherheit besteht das Ziel einer CNAPP darin vollständige End-to-End-Sicherheit für Cloud-native Umgebungen zu bieten. CNAPPs sollten über die Fähigkeiten mehrerer bestehender Cloud-Sicherheitskategorien verfügen, vor allem „Shift Left“-Artefakt-Scanning, Cloud Security Posture Management (CSPM), Kubernetes Security Posture Management (KSPM), Infrastructure As Code (IaC) Scanning, Cloud Infrastructure Entitlements Management (CIEM), eine Runtime Cloud Workload Protection Platform (CWPP) und Software Supply Chain Security-Funktionen. Von Anfang an war es die Vision von Aqua, eine einzige End-to-End-Sicherheitslösung für den gesamten Lebenszyklus von Cloud-nativen Anwendungen in einer ganzheitlichen Plattform anzubieten. Wir waren schon immer der Meinung, dass eine Lösung, um eine echte CNAPP zu sein, Shift-Links-Scanning, umfassende Transparenz und vor allem starke Laufzeitkontrollen umfassen muss, die laufende Angriffe erkennen und stoppen können. Aqua bietet die branchenweit erste und einzige einheitliche Plattform zum Schutz nativer Cloud-Anwendungen. Unsere Cloud-Sicherheitsplattform bietet Anwendenden einen besseren Kontext und eine bessere Priorisierung bei der Identifizierung von Bedrohungen, um Cloud-native Assets vom ersten Tag an in Echtzeit zu sichern und zu schützen.

Sie haben kürzlich 2 neue Lösungen auf den Markt gebracht: Shift Left und Shift Right. Können Sie uns mehr über diese Lösungen und ihre Funktionen erzählen?

Aqua schützt den gesamten Entwicklungszyklus vom Code bis zur Cloud und zurück. Um dies zu unterstützen, haben wir vor kurzem weitere Lösungen auf den Markt gebracht, darunter Software Supply Chain Security (links für Entwicklungssicherheit) sowie Real-Time CSPM (rechts für Cloud-Sicherheit).

Aufsehenerregende Cybervorfälle wie die berüchtigten Angriffe von SolarWinds oder SUNBURST haben die Aufmerksamkeit auf die Widerstandsfähigkeit von Lieferketten gelenkt. Diese Angriffe haben gezeigt, wie Schwachstellen in Produkten und Diensten von Drittanbietenden von Cyber-Kriminellen ausgenutzt werden können, um Hunderttausende von Unternehmen gleichzeitig zu schädigen. Infolgedessen nehmen die Angriffe auf die Software-Lieferkette dramatisch zu; unsere Daten zeigen einen Anstieg von 300 % im Vergleich zum Vorjahr. Diese Art von Bedrohung wird inzwischen als Sicherheitspriorität anerkannt, auch vom Weißen Haus, das kürzlich eine Durchführungsverordnung zur Verbesserung der Sicherheit der Software-Lieferkette erlassen hat. Im September 2022 brachten wir die branchenweit erste und einzige End-to-End-Sicherheitslösung für die Software-Lieferkette als Teil unserer vollständig integrierten CNAPP auf den Markt, die es DevOps-Teams ermöglicht, Sicherheit während des gesamten Softwareentwicklungszyklus (SDLC) zu implementieren, sodass sie Angriffe auf die Lieferkette von Cloud-nativen Anwendungen proaktiv verhindern und stoppen können. Wir identifizieren Risiken in der Software-Lieferkette als Bedrohungen, die von Artefakten Dritter, Open-Source-Abhängigkeiten und böswilligen Akteuren ausgehen, die auf das einzigartige Entwickler-Toolset und die Umgebung abzielen. Diese Fähigkeiten machen unsere Lösung zur einzigen auf dem Markt, die vor Supply-Chain-Risiken schützt, und zwar vom Code bis hin zur Laufzeit, sowohl in der Anwendung als auch in der zugrunde liegenden Infrastruktur.

Unsere Kundschaft teilte uns mit, dass sie von den aktuellen CSPM-Angeboten überfordert sind. Sie erhalten zu viele Befunde, haben aber keinen vollständigen Überblick und damit keine Möglichkeit, Prioritäten zu setzen. Aus diesem Grund hat Aqua im Mai 2023 Real-Time CSPM eingeführt. Mit Real-Time CSPM haben die Teams einen vollständigen Überblick über die Sicherheitsrisiken in der Cloud und können die kritischsten Ergebnisse aufdecken. Dazu gehört die Fähigkeit, korrelierte Befunde über mehrere Cloud-Umgebungen hinweg abzugleichen, Befunde zu reduplizieren und sich auf die Identifizierung echter Cloud-Risiken mit intelligenteren Erkenntnissen zu konzentrieren. Anstatt Zeit mit Problemen zu verschwenden, die nur ein geringes effektives Risiko darstellen, kann sich die Kundschaft auf das konzentrieren, was wirklich wichtig ist, und den Kontext bereitstellen, den die Ressourcenbesitzenden benötigen, um schnell Abhilfe zu schaffen und ihre Cloud-Anwendungen zu sichern.

Detaillierter Kontext ermöglicht es den Teams auch, die in ihrer Cloud gefundenen Probleme mit ihren jeweiligen Code-Repositories zu verbinden. Mit einer besseren Priorisierung und der Möglichkeit, die Risikoverantwortlichen zu identifizieren, ermöglicht Real-Time CSPM eine schnelle Behebung der kritischsten Probleme. Sicherheitsfachleute können ihre begrenzten Ressourcen auf die Verwaltung, Untersuchung und schnellere Reaktion konzentrieren.

Zu beachten ist auch, dass Point-in-Time-Scans die Tür für mehr Angriffe öffnen. Laut dem IDC-Bericht „The State of Cybersecurity Maturity in Vulnerability Management Among U.S. Organizations“ scannen 74 % der Unternehmen weniger als 85 % ihrer IT-Ressourcen, so dass viele Schwachstellen unentdeckt bleiben, bis ein Angreifer sie ausnutzt. Dann ist es bereits zu spät.

Aqua Real-Time CSPM eliminiert dieses Risiko und bietet Echtzeittransparenz und Risikopriorisierung in einer einzigen, einheitlichen Plattform für ein schnelleres und effektiveres Risikomanagement.

Die Bedrohungslandschaft entwickelt sich ständig weiter. Was haben Sie in Bezug auf Cloud-spezifische Bedrohungen beobachtet und wie hilft Aqua bei der Bekämpfung dieser Bedrohungen?

Die meisten Cloud-Verletzungen waren früher auf Fehlkonfigurationen von Cloud-Konten zurückzuführen, aber Unternehmen haben ihre Sicherheitsvorkehrungen für die Cloud-Infrastruktur verbessert, was Angreifende dazu veranlasste, ihren Ansatz zu ändern und zunehmend nach Schwachstellen in Cloud-Workloads zu suchen. So hinterlassen beispielsweise fortschrittliche Angriffe auf Cloud-Workloads, die im Speicher ausgeführt werden, keine Spuren im Dateisystem des Workloads – wir sehen immer mehr Angreifende, die diesen Ansatz verfolgen.

In den letzten Jahren haben auch die Angriffe auf die Software-Lieferkette zugenommen, und wir sehen jetzt Angriffe auf die Entwicklungsumgebung selbst. All diese Angriffsvektoren verdeutlichen die Notwendigkeit eines Sicherheitsansatzes, der den gesamten Lebenszyklus einer Anwendung umfasst – dies war schon immer der Ansatz von Aqua.

Um diese Bedrohungen zu bekämpfen, bleiben wir mit Aqua Nautilus, dem weltweit einzigen engagierten Team von Cloud Native Security Researchenden, an vorderster Front. Mit einem globalen Netzwerk von Honeypots fängt Nautilus jeden Monat mehr als 80.000 Cloud-native Angriffe ab, insbesondere solche, die für Container und Microservices typisch sind und die andere Plattformen nicht erkennen können. Nautilus verwendet eBPF, um die Muster der ausgeführten Prozesse in Linux-Kerneln zu untersuchen. Anschließend werden verhaltensbasierte Angriffssignaturen definiert und in den Aqua-Produkten kodiert, so dass die Kundschaft sofort geschützt ist, ohne die Besonderheiten von Cloud-nativen Angriffen zu kennen.

Jeden Monat findet Nautilus außerdem Zehntausende von In-Memory- und dateilosen Angriffen, die ohne Sichtbarkeit auf Kernel-Ebene nicht erkannt oder gestoppt werden könnten. Als Ergebnis der fortlaufenden Forschung von Nautilus hat Aqua bis heute mehr als 200 verhaltensbasierte Signaturen geschrieben und in seine Produkte implementiert, um die Kundschaft zu schützen.

Wir haben viele mittelständische Unternehmen als Kundschaft, die sich gegenüber Cloud-Szenarien eher passiv verhalten und den Großteil ihrer IT immer noch vor Ort betreiben. Was raten Sie Unternehmen, die gerade mit Cloud-Migrationsprojekten beginnen? Welches sind die 3 wichtigsten Cloud-Sicherheitsmaßnahmen, die zu beachten sind?

Zunächst einmal sollte man sich darüber im Klaren sein, dass die Angriffsfläche in einer Cloud-Umgebung ganz anders aussieht als in einer herkömmlichen On-Premise-Umgebung. APIs, Microservices, Container, serverlose Funktionen und dann natürlich der CI/CD-Entwicklungsprozess selbst, der neue Software in Rekordgeschwindigkeit in die Produktion bringt – all das führt Schichten von Komplexität ein, für die traditionelle Sicherheitslösungen nicht ausgelegt sind. Dadurch entstehen Transparenzlücken und Risiken für Ihr Unternehmen.

3 Maßnahmen, die Sie berücksichtigen sollten:

  1. Fehlkonfigurationen in der Cloud sind nach wie vor ein wichtiger Vektor für erfolgreiche Angriffe – nutzen Sie CSPM, um Fehlkonfigurationen zu identifizieren und die Einhaltung von Best Practices und rechtlichen Rahmenbedingungen zu gewährleisten
  2. Implementieren Sie Shift Left Security – arbeiten Sie daran, bekannte Schwachstellen während der Entwicklungsphase zu identifizieren, damit sie nicht in die Produktion gelangen.
  3. Laufzeittransparenz und -kontrolle sind nach wie vor erforderlich – trotz aller Präventionsbemühungen kommt es zu Zero Days. Sie brauchen Sichtbarkeit zur Laufzeit und die Möglichkeit, einen anfänglichen Angriff zu stoppen, bevor eine seitliche Ausbreitung und Persistenz erreicht werden kann

Vielen Dank für das Interview!

In unserem Tagesgeschäft analysieren wir als unabhängiges Unternehmen die Anforderungen der Kundschaft an die Cybersicherheit und identifizieren geeignete Anbietende von Produkten und Dienstleistungen. Daher haben wir eine ganze Reihe interessanter Anbietenden- und Lösungsprofile gesammelt. Der Beitrag stellt keine Empfehlung für bestimmte Anbietende oder Lösungen dar. Falls Sie Interesse an einem Interview mit uns haben, freuen wir uns über eine kurze Nachricht an cybercompare@bosch.com

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.