rvlsoft - Fotolia
CNAPP : Datadog consolide les vulnérabilités et les alertes
Avec son tableau de bord Security Inbox, Datadog consolide les données de vulnérabilités applicatives, les informations sur les menaces et les identités à risques répertoriées dans l’IAM et liées à une infrastructure cloud. L’éditeur entend mieux concurrencer Lacework, Palo Alto ou encore Orca Security.
Lors de son événement DASH, au début du mois d’août 2023, Datadog a largement mis en avant ses produits de cybersécurité.
Sur ce sujet, le spécialiste de l’observabilité se positionne sur deux aspects. Il y a le monde du SIEM, où il se présente comme un nouveau venu, et le monde SecOps, où l’éditeur semble déjà plus à l’aise.
Pour rappel, Datadog a lancé l’année dernière l’offre Cloud Security Management (CSM), en sus d’Application Vulnerability Management (AVM) et d’Application Security Management (ASM).
Lors de DASH, il a présenté Security Inbox, un tableau de bord intégré à CSM, sa solution à la croisée entre une plateforme CSPM (Cloud Native Posture Management) et CNAPP (Cloud Native Application Protection Platform).
« Il s’agit de réunir la plupart des indicateurs que nous avions déjà dans la plateforme : les erreurs de configuration, les attaques sur les charges de travail spécifiques, les vulnérabilités et les identités à risque. », résume Pierre Bétouin, Senior Vice President, Product Management, chez Datadog.
Security Inbox doit permettre de remonter une dizaine d’informations « haut niveau » dans une interface permettant de les comprendre en quelques minutes.
« Par exemple, nous sommes capables de détecter une attaque sur une charge de travail en production qui a des vulnérabilités connues et qui traite des données sensibles », illustre le responsable.
Une page d’accueil pour éviter la fatigue d’alerte
Ces indicateurs étaient disponibles dans la plateforme de l’éditeur. Les données collectées par l’agent de Datadog étaient distribuées à travers divers tableaux de bord afin de répondre à d’autres usages. Ici, l’éditeur consolide ces informations de sécurité automatiquement et en quasi-temps réel.
« C’est le nouveau point d’entrée pour Cloud Security Management. C’est là où vous irez pour connaître les grands événements, le tout en dix minutes ».
Pierre Bétouin explique que Datadog s’est inspiré de la routine matinale d’un employé qui consulterait ses mails. « Vous ouvrez votre boîte mail et vous savez ce qui est important en lisant les objets. Nous voulons faire la même chose avec Security Inbox. Il ne s’agit pas d’offrir une vision globale et exhaustive des vulnérabilités et des compromissions, mais de surligner la dizaine d’événements importants de la journée », relate le responsable.
Depuis les rachats de Timber et Sqreen en 2021, l’éditeur entend remédier les vulnérabilités et empêcher les compromissions. Si les solutions techniques ont mis environ un an à voir le jour, cela fait désormais partie intégrante de son offre.
Il suffit de cliquer sur un problème (« issue » en VO) pour obtenir une « carte d’identité » qui détaille la vulnérabilité.
Cette carte donne des informations sur « l’attaquant, les différentes attaques ciblant les actifs, les risques identifiés comme les vulnérabilités et les erreurs de configuration », explique Pierre Bétouin.
Datadog a également ajouté la possibilité d’identifier des « identités à risque », par exemple des comptes qui auraient des accès trop permissifs, selon le SVP.
« Si un acteur malveillant arrive à récupérer ces accès, les risques de compromissions sont importants », rappelle Pierre Bétouin.
En effet, Datadog a intégré à son offre Cloud Infrastructure Entitlement Management (CIEM) la possibilité de détecter les attaques visant le IAM et les vulnérabilités affectant les infrastructures cloud. Plus particulièrement, l’outil Infrastructure Vulnerability Management permet de scanner les images de conteneurs et les hôtes. Celui-ci est connecté à la base de données de vulnérabilités de l’éditeur, qui combine les données en provenance de sa plateforme et les agrégats issus du standard CVSS. L’outil permet aussi de détecter les versions de systèmes d’exploitation à mettre à jour.
« Nous savons si la vulnérabilité concerne un système en production, nous savons quand la vulnérabilité s’est présentée, nous savons si le système est exposé, s’il y a du trafic ou non. Nous pondérons le score CVSS avec le score Datadog », liste Pierre Bétouin.
Ainsi, le SVP assure que les notifications envoyées aux utilisateurs sont mises à jour suivant l’évolution des risques et de la menace. « Non seulement vous pouvez savoir si vous avez des vulnérabilités qui affectent une instance, mais également si elle est attaquée et quand », poursuit-il.
Des concurrents à devancer
D’autres acteurs dont Orca Security, Lacework, Palo Alto - Prisma Cloud, ou encore Wiz.io proposent des offres CNAPP, CSPM, CIEM, CWPP (Cloud Workload Protection Platform) qu’ils ont tendance à consolider.
Pour autant, le responsable de Datadog affirme que l’offre n’est pas si courante que cela.
« Il n’y a pas de solutions équivalentes couvrant un périmètre aussi large », vante-t-il.
Pour reproduire Security Inbox, les entreprises utiliseraient une solution de gestion de vulnérabilités, potentiellement une solution d’observabilité, tandis que les attaques peuvent être détectées à l’aide des données des pare-feu, d’outil de protection des terminaux ou encore d’une plateforme de protection des charges de travail en cloud (CWPP).
« De plus, il faut pouvoir les intégrer », ajoute Pierre Bétouin. « C’est la partie la plus complexe : il n’y a aucune normalisation de données entre les différents outils. Pour réussir à avoir une expérience transverse, il faut un modèle de données partagé. Il est possible de faire cela à la maison, mais cela demande beaucoup de travail ».
De manière générale, le Senior Vice President constate que les clients de Datadog chercheraient à consolider les plateformes déployées par les équipes.
« Nos clients nous disent qu’ils veulent réduire le nombre d’outils. Security Inbox est né de là », indique-t-il.
Pour autant, la vue Security Inbox ne supprime pas les tableaux de bord réalisés préalablement par Datadog. « Le “Vulnerability Explorer” permet de filtrer les informations sur les vulnérabilités et de configurer des alertes », illustre Pierre Bétouin.
« Les équipes les plus matures exploitent ces vues-là. Elles préfèrent interroger les données plutôt que d’accéder à un tableau de bord très orienté », complète-t-il.
Pour ces spécialistes, l’éditeur a ajouté en bêta la possibilité de détecter les vulnérabilités au niveau du code, depuis Application Security Management, une fonctionnalité issue « d’une approche IAST ».
Ainsi, Security Inbox cible des équipes opérationnelles qui ne seraient pas forcément expertes en sécurité du cloud. « Nous sommes à cheval entre les équipes DevOps et les équipes de sécurité. Une équipe de sécurité peut vouloir consulter ce type d’informations, mais la résolution est – la plupart du temps – gérée par des développeurs ou des Ops », renseigne Pierre Bétouin.
Datadog s’inspire pourtant d’Orca et de Lacework qui facturent leurs solutions suivant le nombre d’hôtes, de VM ou de conteneurs couverts.
Jusqu’alors, les offres CSM, CIEM et CWS de Datadog dépendaient de SKU séparés. Depuis peu, l’éditeur a revu les offres liées à Cloud Security Management. L’offre est désormais horizontale : il s’agit de proposer les capacités des trois produits dans deux forfaits, Pro et Enterprise.
Le premier coûte 10 dollars par hôte par mois facturé annuellement (ou 12 dollars par hôte par mois à la demande). Il inclut la prise en charge de quatre conteneurs. Cette édition CSM Pro permet de cartographier les ressources et les associer aux cadres de conformité, d’identifier les risques liés à ces ressources, de gérer les vulnérabilités des conteneurs et d’automatiser la remédiation. Chaque conteneur supplémentaire par licence peut être facturé 0,001 dollar de l’heure.
Le forfait Enterprise est facturé 25 dollars par hôte par mois annuellement (20 conteneurs sont inclus). Chaque conteneur supplémentaire par hôte peut être facturé 0,002 dollar de l’heure et l’offre à la demande coûte 30 dollars par mois par hôte. Cette version intègre la gestion des vulnérabilités par hôte, l’offre CIEM, CWS, ainsi que la gestion des cas.
Un dernier forfait, à 15 dollars par hôte par mois par an est consacré à CWS et plus particulièrement aux analyses issues d’eBPF, au profiling des activités, ainsi qu’à la détection d’anomies réseau.
« Nous sommes plus compétitifs qu’auparavant. Nous n’avions rien d’accessible à 10 dollars par hôte par mois », avance Pierre Bétouin.