Challenge
Mit einer globalen Präsenz in 120 Ländern und einer Wachstumsgeschichte durch M&A-Aktivitäten wurde die Cloud-Umgebung von Aon unglaublich komplex und schwer zu sichern.
Dem Unternehmen fehlte eine einzige Echtzeitansicht seiner verschiedenen Cloud-Vorgänge und es verließ sich auf eine Suite von 10 Tools, um Cloud-Risiken zu identifizieren und zu beheben.
Kritische Aktivitäten – einschließlich Risikobehebung, Compliance-Berichterstattung und M&A-Integration – waren mit zeitaufwändigen, teuren und fehleranfälligen manuellen Prozessen verbunden.
Lösung
Aon profitiert nun von einer einzigen, detaillierten Echtzeitansicht seiner weltweiten Cloud-Assets sowie deren Funktionen und Schwachstellen.
Die globalen Cloud-Assets des Unternehmens werden automatisch gescannt und es werden Empfehlungen zur Risikobehebung generiert. In vielen Fällen können Entwickler Risiken selbst beheben.
Compliance-Berichte können auch automatisch erstellt werden, während Aon die Sicherheitslage von Unternehmen bewertet, die an M&A-Aktivitäten beteiligt sind, vor und nach Abschluss eines Geschäfts.
Suche nach Lösungen für eine hochgradig verteilte Cloud-Landschaft
Aon ist ein globales Dienstleistungsunternehmen mit Niederlassungen in über 120 Ländern und rund 50.000 Mitarbeitern weltweit. Das Kerngeschäft des Unternehmens mit Hauptsitz in London umfasst Lösungen für Risikomanagement, Versicherungsvermittlung, Rückversicherungsvermittlung und Personalberatung.
Aon nutzt proprietäre Daten und Analysen, um die Volatilität zu reduzieren und die bestmöglichen Ergebnisse für seine Kunden zu erzielen. Sein übergreifende Ansatz für Technologie und Sicherheit stellt sicher, dass das Unternehmen über die besten Tools und Fähigkeiten für alle Cloud-Plattformen verfügt, um Entwicklung, Wachstum und das sichere Risikomanagement zu ermöglichen.
Die größten Herausforderungen, mit denen Aon vor der Partnerschaft mit Wiz konfrontiert war, hingen mit der komplexen Organisationsstruktur des Unternehmens zusammen. Aon wächst seit vielen Jahren durch Fusionen und Übernahmen (M&A). Das Ergebnis ist ein hochgradig verteiltes Geschäft, das von einer verworrenen Cloud-Landschaft (AWS, Azure und Google Cloud) unterstützt wird.
Wir hatten Niederlassungen und Entwicklungsteams in mehr als 100 Ländern, jedes mit seinen eigenen regionalen Anforderungen, Kundenanforderungen, Technologien und sogar verschiedenen Sprachen, mit denen wir umgehen mussten.
Shivendra Singh, Senior Leader, Cloud- & Anwendungssicherheit bei Aon sagte, dass sein Team nicht weniger als 10 Sicherheitstools benötigt hätte, um diese Cloud-Komplexität zu bewältigen. Das hätte ein großes Team, solide Fähigkeiten, die es zu pflegen galt, viele interne Gespräche und eine beträchtliche Koordination der Stakeholder, um den täglichen Betrieb zu erleichtern, bedeutet.
Manuelle Prozesse untergraben die Risikobereinigung erheblich
Unter diesen Umständen war auch die Behebung von Cloud-Risiken unglaublich schwierig, zeitaufwändig und teuer. Das Team von Singh musste die Ergebnisse manuell aus seiner Tool-Suite extrahieren, mehrere Behebungs-Streams ausführen, Daten manuell normalisieren, den Kontext rund um jede einzelne Schwachstelle herausfinden, Fehlalarme identifizieren und ein klares Bild der einzelnen Risiken zusammenfügen.
Erschwerend kam hinzu, dass die Sicherheitsteams von Aon ihre Cloud-Umgebungen nicht manuell scannen konnten. Stattdessen mussten sie sich darauf verlassen, dass DevOps sie jedes Mal benachrichtigte, wenn neuer Code veröffentlicht wurde. Diese Methode der Risikoidentifizierung und -behebung kann Tage in Anspruch nehmen.
„Die Prozesse waren Ad-hoc-Prozesse, und das Team hat aus Sicht der Asset-Erkennung oft Dinge übersehen, wie z. B. Fehlkonfigurationen“, erklärt Michelle Pieszko, VP bei AON, Cybersecurity Operations.
Als es darum ging, die Cloud-Compliance-Anforderungen von Aon zu erfüllen, mussten die Sicherheitsteams die Cloud-Konten des Unternehmens manuell zuordnen und die vom Anbieter bereitgestellte Dokumentation ändern, um Compliance-Berichte zu erstellen.
„Dieser Prozess beinhaltete keine Live-Daten“, sagt Pieszko, „deshalb waren unsere Compliance-Übungen in der Regel fast sofort nach Abschluss veraltet.“
Komplexität und manuelle Prozesse wirkten sich auch als Hemmnis für die primäre Wachstumsmethode von Aon aus – M&A-Aktivität. In einigen Fällen dauerte es Jahre, bis neue Geschäftsbereiche vollständig integriert waren.
Schwierigkeiten, mit einer sich schnell beschleunigenden Entwicklungspipeline Schritt zu halten
In der Zwischenzeit beschleunigte die Cloud-Migration die Code-Entwicklungspipeline von Aon, sodass die Sicherheitsteams Schwierigkeiten hatten, Schritt zu halten. Sie mussten dringend eine proaktive Sicherheitslage einführen, mit automatisierten Sicherheitsmaßnahmen, die in die Entwicklungspipeline integriert sind.
Der Status quo war nicht nachhaltig, geschweige denn skalierbar. Aons verteilte Cloud-Komplexität hatte das Sicherheits- und Compliance-Risiko drastisch erhöht, und die Situation musste sich ändern.
Das Unternehmen benötigte eine „Wunderwaffe“, die in der Lage ist, eine einzige Echtzeitansicht über die gesamte Cloud-Umgebung hinweg zu bieten. Die Lösung musste Cloud-Schwachstellen identifizieren und beheben, manuelle Prozesse automatisieren und Komponenten wie Identität und Systemzugriff verwalten.
Für Pieszko kam das Aha-Erlebnis in dem Moment, als sie Wiz in Aktion sah.
Ich erinnere mich, dass ich während dieser ersten Wiz-Demo mein Team angepingt und gesagt habe: ‚Wenn Wiz nur die Hälfte der Dinge macht, die ich gerade sehe, brauchen wir es unbedingt!‘ Es war das erste Tool, das ich je gesehen hatte, das in der Lage war, uns Sichtbarkeit über alle unsere Cloud-Umgebungen hinweg zu geben.
Dank seiner Standard-Voreinstellungen gab Wiz den Sicherheitsteams von Aon nicht nur sofort unternehmensweite, detaillierte Einblicke, sondern brachte auch DevOps und Sicherheit näher zusammen, indem es eine gemeinsame Sprache für die Funktionen und Schwachstellen einzelner Assets bereitstellte. Aon entdeckte auch, dass Wiz völlig agentenlos ist, keine Systemausfallzeiten erfordert und keinen Einfluss auf die Betriebsleistung hat.
Der Speed-to-Value der Plattform erwies sich für Aon als Gamechanger, da sie es den Sicherheitsteams ermöglichte, proaktiv mit der Risikobehebung umzugehen und Security-by-Design schnell in die DevOps-Code-Produktionspipeline zu integrieren.
Verbesserte Zusammenarbeit dank einer einzigen Sicht auf die Wahrheit
„Die wichtigste Funktion, die für mich herausragte", sagt Pieszko, "war die Tatsache, dass unsere Sicherheits- und Technologieteams an derselben Konsole angemeldet waren und denselben Datensatz betrachteten, was uns einen unbestreitbaren Beweis dafür lieferte, dass eine kritische Erkennung durchgeführt worden war.”
Zuvor hatte es viele Fehlalarme gegeben, sodass Pieszkos Team die Anwendungsinhaber anrufen musste, um den Kontext jedes Vorfalls zu besprechen.
„Wiz eliminiert diese Verhandlungen im Wesentlichen und beschleunigt die Behebung”, sagt sie. „Der Wiz Security Graph generiert automatisch wichtige Einblicke wie den Angriffspfad und den Asset-Wert. So können wir uns jetzt unabhängig vom Kontext auf das Problem konzentrieren und wichtige Entscheidungen zur Behebung auf der Grundlage der von Wiz bereitgestellten Echtzeitdaten treffen.”
Dieser automatisierte Ansatz bedeutet, dass die Technologieteams von Aon nun in vielen Szenarien Risiken selbst beheben können. Sie können das Risiko erkennen, verstehen, warum es kritisch ist, und es dann selbst beheben – dank einer Reihe von empfohlenen Schritten, die von der Plattform generiert wurden. Tech-Teams müssen sich nicht einmal bei Wiz anmelden – sie können Probleme über Ticketsysteme wie Jira und ServiceNow einsehen. Mit diesem neuen Behebungsprozess konnte Aon die Zeit für die Behebung von Risiken in seinen Umgebungen von Tagen auf Stunden reduzieren.
Joe Martinez, CSO von Aon, sagt, dass sich Wiz durch seine Skalierbarkeit und seine außergewöhnliche Time-to-Value von der Konkurrenz abheben würde.
„Wiz verschaffte uns schnell Sichtbarkeit und half uns, die Cloud-Landschaft zu verstehen. Es war ein echter Augenöffner, der uns ein Gefühl dafür gab, wie viel Workload, wie viel Aktivität und wie viele APIs tatsächlich in unseren Cloud-Umgebungen verwendet werden”, sagt er.
Im Gegensatz zu vielen anderen Lösungen ist Wiz in der Lage, auf Unternehmensebene zu skalieren. Bei den meisten anderen Sicherheitslösungen dauert es Monate oder sogar ein Jahr, bis der volle Wert Ihrer Investition realisiert ist. Dank Wiz konnten wir dies jedoch innerhalb weniger Wochen erreichen, was in unserer Branche kaum bekannt ist.
Pieszko merkt an, dass Wiz sich als erste Verteidigungslinie von Aon erwiesen habe, als Ende 2022 globale OpenSSL-Schwachstellen identifiziert wurden. Zu ihrer Zufriedenheit habe die Plattform umgehend jeden Fall einer OpenSSL-Schwachstelle in der gesamten Aon Cloud-Umgebung identifiziert und sofort Abhilfemaßnahmen empfohlen.
Automatisierung manueller Aufgaben und Entlastung von Sicherheits- und Compliance-Teams
Die manuelle Erfassung von Vendor-Compliance-Dokumenten gehört auch der Vergangenheit an. Mit über 100 integrierten Compliance-Frameworks scannt Wiz automatisch die Cloud-Umgebung von Aon und bildet Best Practices und regulatorische Frameworks für die zahlreichen Cloud-Konten des Unternehmens ab, deckt Compliance-Lücken auf und empfiehlt und automatisiert die Behebung regulatorischer Risiken.
„Dank Wiz haben wir einen Großteil dieser Compliance-Arbeit eliminiert und automatisiert“, sagt Pieszko. „Jetzt melden wir uns wirklich einfach nur bei der Konsole an und erhalten automatisch die Kontrollzuordnungs- und Bewertungsdaten. Das Team muss sich nur noch um den Behebungsteil des Zyklus kümmern. Was früher Stunden in Anspruch genommen hat, dauert jetzt nur noch Minuten.“
Die schnelle und nahtlose Bereitstellung hat auch die Beteiligung des Sicherheitsteams an M&A-Aktivitäten verändert. Aon kann Wiz nun in der Cloud-Umgebung einer potenziellen Übernahme bereitstellen, bevor ein Geschäft abgeschlossen ist, um sofortige, vertrauenswürdige Daten über die Sicherheitslage der Übernahme zu generieren und alle erforderlichen Behebungsmaßnahmen aufzuzeigen.
„Wir brauchen keine Fragebögen und Tabellen mehr mit den Stakeholdern teilen“, erklärt Martinez. „Wiz ermöglicht uns eine sehr schnelle Integration und gibt uns ein wirklich transparentes Verständnis der Risikolage einer potenziellen Übernahme.“
Aon hat sein Cloud-Risikomanagement mit Wiz schnell und nahtlos transformiert, manuelle Prozesse und Komplexität beseitigt und gleichzeitig eine proaktive Security-by-Design-Struktur zur Norm gemacht.
„Aons Weg in die Cloud wäre nicht annähernd so erfolgreich, wenn wir Wiz nicht hätten“, schließt Martinez.
Möchten Sie erfahren, wie Ihr Cloud-Sicherheitsprogramm die gleichen Ergebnisse erzielen kann wie Aon? Werfen Sie einen genaueren Blick auf Wiz' Cloud-Sicherheitslösungen für Finanzdienstleistungen.
