Orca Security est un choix évident pour Databricks

Databricks gère les risques pour aider les clients à réussir

Databricks est un leader de l’analytique des données et du machine learning. Aujourd’hui, plus de cinq mille organisations dans le monde, y compris plusieurs entreprises faisant partie du classement Fortune 500, dépendent de Databricks pour permettre l’ingénierie des données à grande échelle, la science des données collaborative, le cycle complet du machine learning et l’analyse commerciale. L’entreprise possède des centaines de partenaires dans le monde, dont de grandes marques comme Microsoft, Amazon, Informatica et Cap Gemini.

En tant qu’entreprise de technologie pour les entreprises qui fait partie de la chaîne d’approvisionnement de ses clients et de ses partenaires, Databricks met l’accent sur la surveillance et la gestion de ses propres risques pour gagner et garder leur confiance. Elle investit dans des produits et des fournisseurs de sécurité de premier ordre pour fournir cette assurance.

Databricks exploite un environnement multicloud à l’aide d’AWS, d’Azure et de GCP. L’emploi de ces trois plateformes rend difficile l’utilisation des outils natifs des opérateurs de cloud pour bénéficier d’une sécurité uniforme sur l’ensemble des systèmes. Il est donc essentiel de sélectionner de bons outils pour maintenir un environnement sécurisé.

Un entrepreneur spécialisé dans la sécurité qualifie Orca de « simple et brilliant »

Caleb Sima est le vice-président de la sécurité de l’information de l’entreprise. Il a été entrepreneur pendant une grande partie de sa carrière et a lancé, développé et vendu une série d’entreprises de cybersécurité. Il y a quelques années, Sima a décidé de prendre un nouveau tournant dans sa carrière de fondateur et d’entrepreneur pour devenir défenseur au sein des entreprises. Cela lui donne une perspective unique sur les meilleures technologies à déployer pour défendre et protéger les applications et les environnements cloud de Databricks.

« Lorsque j’ai rejoint Databricks, j’ai eu l’occasion de créer mon équipe de sécurité de toutes pièces. Ensemble, nous avons évalué et choisi les outils de notre pile de sécurité » dit-il. Un critère important était de ne pas déranger l’équipe d’ingénierie logicielle de Databricks. « Nous sommes une entreprise dynamique et je ne veux rien faire qui puisse ralentir les progrès de nos ingénieurs. Notre pile technologique évolue si vite qu’il serait difficile et complexe d’installer des agents sur des ressources. »

« Dès que j’en ai entendu parler, j’ai vraiment voulu voir la démonstration d’Orca. Ce qui a piqué mon intérêt était d’apprendre comment cela fonctionnait en prenant essentiellement des instantanés de disque et en les analysant pour identifier les activités et les vulnérabilités.

« L’entrepreneur en moi s’est exclamé : « Eurêka ! » C’est si évident et simple, mais tout simplement brillant. C’est limpide. »
Caleb Sima

V.-P de la sécurité de l’information

Les agents créent la complexité ;
À la complexité s’ajoute le risque

Sima savait qu’il ne voulait pas d’un produit qui utilisait des agents sur les machines, notamment lorsqu’il s’agit d’infrastructures et d’hôtes critiques.

« Ça demande beaucoup d’efforts inutiles, tant pour la sécurité que pour l’ingénierie, de faire fonctionner une solution basée sur des agents », dit-il. « Chaque fournisseur qui dispose d’un agent dit qu’ils sont légers. Le problème n’est pas la puissance du processeur, mais l’ajout de plus de risques. Plus vous vous chargez de choses dans un système, plus vous ajoutez de complexité et plus vous risquez que quelque chose se passe mal. »

« L’approche hors bande d’Orca n’est pas tant un avantage sur la performance mais plutôt un avantage sur le processus des personnes. Il y a des frictions et des défis dans toute organisation lorsqu’on déploie une nouvelle technologie. Idéalement, vous voulez une technologie de sécurité qui est entièrement sous le contrôle de l’équipe SOC. »
Caleb Sima

V.-P de la sécurité de l’information

La valeur d’Orca était immédiatement évidente

Databricks a demandé un POC et a rapidement mis Orca en service. Tout ce que l’entreprise a dû faire était de configurer certaines autorisations de compte cloud. En quelques heures, Orca montrait des résultats sur son tableau de bord. Sima et ses collègues de la sécurité ne pouvaient pas en croire leurs yeux. « Je me souviens d’avoir examiné les alertes avec étonnement », indique Sima. « Au début, nous pensions que nous examinions de faux positifs. Ensuite, nous avons vérifié par nous-mêmes et avons découvert que chaque alerte était réelle. »

« Orca hiérarchise les alertes de risque de façon très exploitable tant pour l’information qui est fournie, qu’au niveau de sécurité qui est donné. C’est tellement bien qu’on dirait de la magie. »
Caleb Sima

V.-P de la sécurité de l’information

Databricks espérait résoudre plusieurs problèmes avec une solution comme Orca. La première intention était d’obtenir de la visibilité sur tout ce qui s’exécute sans avoir à installer des agents sur des boîtes. L’entreprise recherchait également un outil qui pourrait l’aider dans la surveillance du cloud, la détection et la réponse. Et elle voulait identifier les risques dans tous ses environnements cloud. « Orca a trouvé un équilibre entre ces besoins, répondant à tous nos critères. Que tous les environnements cloud puissent communiquer ensemble, et avec Orca, nous donne un aperçu plus complet de notre risque global. »

« Notre principale difficulté concernait la visibilité sur nos charges de travail, instances et machines liées au cloud. » rapporte Sima. « Le POC nous a montré que non seulement nous pouvions voir ce qu’il se passait, mais qu’Orca pouvait également nous dire ce qui pourrait arriver. En d’autres termes : « Voici des mouvements latéraux qui pourraient se produire et le type de ressources auxquelles un attaquant pourrait peut-être accéder. » Ces informations sont incroyables, nous avons donc vu la valeur immédiatement. »

Sima apprécie tout particulièrement l’exactitude et la profondeur des conclusions d’Orca. « Vous pouvez faire des choses telles que détecter qu’il y a une grande quantité de connexions SSH échouées sur cette boîte qui se trouve également contenir des clés, qui donnent accès à ces boîtes, qui contiennent également un identifiant AWS qui peut accéder à cette infrastructure. Manifestement, cette boîte est attaquée et elle est également trop privilégiée, tout cela est vrai. Et vous pouvez le faire et communiquer cela de manière assez compréhensible à toute personne dans l’organisation » déclare Sima. C’est extrêmement utile. »