5 leçons que nous avons apprises en validant les contrôles de sécurité chez Snowflake

5 leçons que nous avons apprises en validant les contrôles de sécurité chez Snowflake

Vous avez peut-être entendu parler de l’introduction en bourse de Snowflake l’année dernière. Mais vous n’avez probablement pas entendu parler de tout le travail de préparation effectué par l’équipe de sécurité de Snowflake. Notre programme de sécurité d’entreprise a fait l’objet d’un examen analytique de la sécurité pour s’assurer qu’il répondait aux nouvelles exigences de la politique de sécurité résultant de l’introduction en bourse. Voici quelques leçons que nous avons apprises lors de la mise en place de la validation automatisée des contrôles de sécurité sur notre lac de données de sécurité Snowflake.

Leçon n°1 : Vous apprenez quelque chose de nouveau lorsque vous mesurez pour la première fois

L’ignorance peut être un bonheur pour certaines personnes, mais pas pour les analystes en sécurité. C’est pourquoi des réponses à des questions telles que « Avons-nous une visibilité sur l’ensemble de notre activité de serveur d’entreprise ? » peut être éclairant. Par exemple, lorsque nous avons joint les journaux d’événements à l’inventaire des actifs dans Snowflake, les analyses ont indiqué les systèmes qui nécessitaient une attention particulière.

Les lacunes de visibilité ne sont pas bonnes, mais pourquoi devrait-on s’attendre à ce que les choses soient parfaites si la mesure se produit rarement ou pas du tout ? Bien que l’obtention de résultats inattendus ne nous ait pas semblé formidable à l’époque, cela nous a amenés à poser des questions difficiles et à nous rapprocher de notre état cible.

Leçon n°2 : SQL peut être meilleur que l’anglais pour définir des politiques de sécurité

L’une des meilleures choses à faire partie de l’équipe de sécurité de Snowflake est d’acquérir des compétences en SQL. Bien que SQL soit le langage de requête préféré des analystes de données du monde entier, les analystes de la cybersécurité utilisent généralement une polyglotte de syntaxes de recherche propriétaires. Cela empêche de nombreuses personnes dans notre domaine de mettre les données au travail de manière significative, perpétuant un cycle d’efforts manuels sans suffisamment de temps pour investir dans de meilleures analyses et automatisation.

Nous avons constaté que SQL est facile à apprendre et qu’il peut être un excellent moyen d’encoder une politique de sécurité. Les définitions de stratégie en anglais peuvent être ambiguës, trop générales ou trop spécifiques, mais SQL fournit une structure pour tenir chacun responsable. Par exemple, nous avons traduit les principaux benchmarks du Center for Internet Security (CIS) en SQL, puis les avons exécutés sous forme de requêtes planifiées sur les derniers détails d’actif et de configuration. Les résultats nous ont fait gagner tellement de temps dans la préparation de l’audit et les mises à jour de la direction que l’effort s’est rapidement rentabilisé.

Leçon n° 3 : Lorsque tout le reste échoue, ajoutez du contexte

Dans certains cas, tous nos efforts n’auraient pas été suffisants pour répondre à 100% à un certain contrôle. L’application de données contextuelles peut aider à concentrer l’attention sur ce qui compte le plus. Les enregistrements RH peuvent être utilisés pour enrichir les données de configuration du cloud avec des détails sur l’organisation et le statut d’emploi d’un utilisateur (voir Figure 1).

cis control 16 surveillance et contrôle de compte

Figure 1 : Application du contexte aux données d’activité et de configuration

Pour orienter nos efforts autour de la formation à la sensibilisation à la sécurité, nous avons centralisé la progression du module de formation, les dossiers RH et les alertes de phishing. Cette approche nous a permis de mesurer et d’améliorer les taux de formation spécifiquement pour les membres des équipes à haut risque en fonction de la nature de leur rôle et de la fréquence à laquelle leur organisation est ciblée par des attaquants. Dans certains groupes ciblés, nous avons mesuré une amélioration d’environ 60 % à près de 90 % ayant terminé leur formation (voir Figure 2).

mettre en place un programme de formation à la sécurité

Figure 2 : Mesure de la façon dont les messages ciblés améliorent les taux de formation des employés

Leçon n°4 : L’automatisation ne peut se produire qu’après une bonne détection

Sachant que nous ne pourrions jamais étendre l’équipe de sécurité aussi rapidement que le reste de Snowflake se développait, nous avons utilisé l’automatisation pour surmonter les problèmes de bande passante. Nous avons appris, cependant, que l’automatisation n’est pas une option tant que les données et les analyses ne fournissent pas des résultats toujours précis. Par exemple, nous voulions avertir automatiquement le service informatique lorsque le réseau de l’entreprise disposait encore d’un ID utilisateur pour un employé qui avait quitté l’entreprise.

Lorsque les détails pertinents ont été collectés pour la première fois dans le lac de données de sécurité et réunis, les résultats comportaient quelques bogues. Par exemple, les résultats incluaient les employés qui avaient changé d’équipe et avaient toujours besoin d’un accès au Wi-Fi du bureau. Si nous signalions à plusieurs reprises les mauvais utilisateurs au service informatique, ils pourraient perdre confiance dans le processus et nos notifications finiraient par être acheminées vers le dossier de courrier indésirable. Au lieu de cela, nous nous sommes concentrés sur les tableaux de bord qui affichaient les résultats de détection. Ce n’est que lorsque tout le monde était satisfait de la validité des analyses que nous avons mis en place des tickets et des alertes pour déclencher automatiquement l’action. Finalement, nous pourrions prendre du recul et laisser les informations issues des données modifier le comportement des employés et améliorer notre posture de sécurité globale (voir Figure 3).

billetterie et messagerie automatisées

Figure 3 : Tickets et messages basés sur des analyses automatisées

Leçon n°5 : Les dirigeants adorent les rapports exécutifs

Notre direction possède une expérience approfondie des sociétés ouvertes et des introductions en bourse précédentes. Nous voulions leur donner confiance dans les contrôles de sécurité de Snowflake. Bien que les présentations puissent aider à refléter nos progrès, nous voulions que les données parlent d’elles-mêmes. Grâce à des rapports et des tableaux de bord, les cadres avaient une vue directe sur les contrôles de sécurité, garantissant ainsi que la direction recevait des informations précises.

Comme le montre le tableau de bord de suivi (Figure 4), notre approche basée sur les données a généré des gains importants dans les contrôles clés. Les parties prenantes seniors pouvaient accéder et interagir avec les rapports BI en direct, montrant les réalisations de l’équipe de sécurité.

Établir un processus de révocation d'accès

Figure 4 : Travail acharné montrant les résultats, rapporté en direct

L’équipe de sécurité de Snowflake est fière du rôle qu’elle a joué dans le succès de l’introduction en bourse, mais nous ne prévoyons pas de nous arrêter là. Maintenant que nous avons établi un lac de données de sécurité avec des dizaines de sources de données et d’analyses pour valider automatiquement bon nombre de nos contrôles de sécurité, nous continuons à étendre notre programme pour répondre aux nouvelles exigences et défis. Par exemple, nous espérons qu’en mappant les contrôles de sécurité aux équipes et aux individus, nous pourrons renforcer la responsabilisation et améliorer davantage la posture.

Parfois, un nouveau projet nécessite la collecte de sources de données supplémentaires. D’autres fois, nous nous tournons vers notre équipe d’analyse de données pour nous aider à exprimer une exigence complexe en SQL. Nous obtenons également des intégrations, des analyses ou une automatisation prêtes à l’emploi de la part de nos fournisseurs. C’est une expérience enrichissante qui se construit avec le temps et nous permet d’apprendre.

Regarder le Snowflake sur Snowflake : obtenir une visibilité en temps réel sur les contrôles de sécurité enregistrement du webinaire avec Sunny Bedi, Snowflake CIO ; Mario Duarte, vice-président de la sécurité de Snowflake ; et Omer Singer, responsable de la stratégie de sécurité de Snowflake, pour en savoir plus, ou contactez votre équipe Snowflake pour vous lancer dans l’analyse de la sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.