Challenge
esure ist in einer stark regulierten Branche tätig, in der der Schutz von Kundendaten an erster Stelle steht.
esure fehlte eine umfassende Sichtbarkeit in seine komplexe Multi-Cloud-Umgebung.
Ein beschleunigter Bereitstellungszyklus erschwerte es dem Team von esure, die Sicherheitsübersicht beizubehalten.
Lösung
esure kann sich dank integrierter Wiz-Frameworks und -Berichte problemlos an Compliance-Standards messen.
Das Sicherheitsteam von esure hat eine konsistente Sichtbarkeit über seine Multi-Cloud-Umgebung hinweg und ein klares Bild der Risiken in allen Clouds.
Mit Wiz kann esure Risiken priorisieren, was eine schnelle Behebung ermöglicht und es Entwicklern ermöglicht, sich auf die größten Risiken zu konzentrieren.
Wechsel in die Cloud und Aufrechterhaltung der Sicherheit
Als Innovator auf dem Versicherungsmarkt im Vereinigten Königreich war esure Vorreiter beim Online-Abschluss von Kfz- und Hausratversicherungen. Sicherheit steht an vorderster Front einer digitalen Transformation, die es esure ermöglicht hat, den Markt weiterhin zu revolutionieren und neue Produkte auf einer kundenorientierten Plattform anzubieten. Die Strategie des Unternehmens besteht darin, durch Design sicher zu sein und Sicherheit in jeder Entwicklungsphase zu integrieren.
Durch die Außerbetriebnahme von veralteter Technologie und den Wechsel in die Cloud eröffnete esure neue Möglichkeiten, sah sich aber auch mit neuen Risiken konfrontiert. Das Sicherheitsteam des Unternehmens hatte nur eine begrenzte Sichtbarkeit in seine komplexe Multi-Cloud-Umgebung und es fehlte an einer klaren Risikopriorisierung. Die bestehende Lösung von esure produzierte auch ständige Alarme und Fehlalarme, was es schwierig machte, die dringendsten zu identifizieren. Dies bedeutete, dass Zeit mit der Sichtung von Alarmen verschwendet wurde, die keine tatsächlichen Risiken darstellten.
Die größte Veränderung von einer On-Premise-Umgebung zu einer Cloud-Umgebung ist die schiere Menge an Angriffsvektoren, die Sie sichern müssen.
Für Kenichi Shibata, DevSecOps Engineer bei esure, bestehe das große Problem darin, Hunderttausende von Schwachstellen zu priorisieren und dann darauf aufbauende Berichte zu erstellen, damit die Führungskraft das Risikolevel erkennen kann. „In einem Meer von Schwachstellen, welche sehen wir uns an?“, sagt Shibuya.
Der Bereitstellungslebenszyklus bei esure hat sich ebenfalls von einmal pro Monat auf einmal pro Woche verschoben und bewegt sich auf einen einzigen Tag zu, was eine noch größere Herausforderung für die Sicherheitswartung darstellt. Das Team musste sicherstellen, dass diese schnelle Bereitstellung unterstützt wurde, ohne die Sicherheit zu beeinträchtigen. Durch die Automatisierung zwischen der Planungs- und der Bereitstellungsphase konnte esure Sicherheitsrisiken frühzeitig erkennen.
Angesichts einer großen und komplexen Umgebung und der fortschreitenden Reifung in der Cloud wurde dies zu einer immer wichtigeren Priorität. Wiz wurde aufgrund seines Fokus auf die Risikopriorisierung und der zentralisierten Funktionen seiner CNAPP-Plattform, die über die traditionellen CSPM-Tools hinausgehen, darunter DSPM, CIEM, Angriffspfadanalyse und Scannen von Geheimnissen in GitHub-Repositorys, als die beste Lösung für esure identifiziert.
Erhöhte Sichtbarkeit ermöglicht eine schnellere Problembehebung
esure verwendet sein eigenes konsolidiertes Key-Risk-Indicator-Dashboard in Grafana, um alle Risiken in seiner Cloud-Umgebung zu visualisieren und einen Überblick über den Schweregrad auf Führungsebene zu bieten. Wiz machte das Zusammenführen mit den bestehenden Prozessen und Workflows, die die Entwickler von esure verwendeten, einfach, ohne sich an brandneue Tools anpassen zu müssen.
Durch die Übertragung von Wiz-Daten in das Grafana-Dashboard konnte esure eine „einzelne Sicherheitsglasscheibe“ einrichten, die eine Reihe von Datenpunkten enthält, was es Entwicklern erleichtert, zu selektieren, und Führungskräften, die Behebung zu priorisieren.
Wir brauchten ein Tool, das uns Sichtbarkeit verschafft und Risiken in allen unseren Cloud-Umgebungen misst und dieses Risiko auch in eine Priorität umwandelt. Wir fanden das mit Wiz.
Dies hat bereits bei der internen Berichterstattung geholfen, da der Wiz Security Graph es einfach macht, Abfragen mit den Führungskräften des Unternehmens zu teilen. Wenn tiefergehende Informationen benötigt werden, bietet das Sicherheitsteam von esure Entwicklern Self-Service-Zugriff auf Wiz, um einen vollständigen Überblick über Angriffspfade und Behebungen zu erhalten.
„Nach der Implementierung von Wiz waren wir in der Lage, eine größere Reichweite über alle unsere Teams hinweg zu erreichen, und wir haben unsere Sichtbarkeit über unsere Cloud-Plattformen hinweg erhöht“, sagt Richard Frost, CISO bei esure. „Dadurch konnten wir die Zeit zur Behebung einiger der von uns identifizierten Risiken verkürzen.“
Dank dieser erhöhten Sichtbarkeit beseitigt esure nun proaktiv kritische Risiken in seiner Umgebung und kann Maßnahmen ergreifen, um seine Cloud-Angriffsfläche zu reduzieren. Dadurch sind die Teams viel zuversichtlicher, dass die richtigen Dinge zur richtigen Zeit behoben werden. Und jetzt, da sie nicht mehr Tausende von Alarme durchforsten müssen, ist auch die Produktivität gestiegen.
Compliance ist in allen Umgebungen leicht zu verfolgen und einzuhalten
In einer stark regulierten Branche wie der Versicherungsbranche ist die Einhaltung der Vorschriften von entscheidender Bedeutung. Vor der Implementierung von Wiz fand esure, dass Compliance-Frameworks in der Cloud eine Herausforderung darstellten, da ein Großteil der Compliance-Berichte manuell erfolgte.
esure nutzt jetzt die integrierten Compliance-Frameworks und CIS-Benchmarks von Wiz, um die Compliance in seiner gesamten Umgebung zu bewerten und den Audit-Teams auf einfache Weise über ihre Compliance-Lage zu berichten. Mit der kontinuierlichen Bewertung und den automatisierten Berichten, die von Wiz erstellt werden, kann das Unternehmen schnell erkennen, wie es im Vergleich zu den Compliance-Frameworks für jedes seiner verschiedenen Konten und Abonnements abschneidet.
Bevor wir Wiz hatten, war es ein schwieriger und manueller Prozess, Berichte anhand von Compliance-Frameworks in der Cloud zu erstellen. Mit einem Tool wie Wiz können wir bei esure sehr schnell sehen, wie wir im Vergleich zu einem Compliance-Framework für jedes unserer verschiedenen Konten und Abonnements abschneiden.
Die Compliance-Berichterstattung ist jetzt standardisiert mit vierteljährlichen Berichten, die über das Wiz-Portal erstellt und heruntergeladen werden.
esure nutzt auch das Data Posture Security Management (DSPM) von Wiz, um einen vollständigen Überblick über sensible Informationen auf allen seinen Cloud-Plattformen zu erhalten. Das Unternehmen schätzt auch die Kapazität von Wiz, einen vollständigen Überblick über alle Cloud-Ressourcen von esure zu erhalten. „Zum Beispiel“, sagt Frost, „haben wir CrowdStrike auf all unseren nicht-kurzlebigen Instanzen? Wie sieht unsere End-of-Life-Software aus? Und das Einrichten von Alarmen. All diese anderen Funktionen am Rand sind wirklich nützlich.“
Wiz gibt Sicherheitsteams die Zuversicht, nach vorne zu blicken
Der Funktionsumfang, den Wiz für esure auf einer einzigen Plattform bietet, hat den Druck der laufenden Beschaffung verringert und die Aufmerksamkeit ausschließlich auf Schwachstellen gelenkt. Das ist für das Team in einer Zeit zunehmender Cyberangriffe, einschließlich Bedrohungen durch Ransomware-Banden, von entscheidender Bedeutung.
Das Team von esure wird nun entlastet, um tiefer in die Taktiken solcher Banden eintauchen und verstehen zu können, wie sie es schaffen können, in sichere Umgebungen einzudringen, und welche Kontrollen implementiert werden könnten, um Angriffe zu verhindern. „Wir sind eher auf die Zukunft fokussiert, als auf Probleme zu reagieren“, sagt Shibata. „Wir antizipieren Sicherheitsverletzungen, anstatt nur darauf zu reagieren. Das gibt uns viel Vertrauen.“
Die Zusammenarbeit mit Wiz, als Team, ist sehr kollaborativ. Es war erstaunlich, dass es innerhalb von ein paar Wochen in Betrieb war.
Bisher wurde die Lösung von Wiz von den Sicherheits- und Architekturteams von esure verwendet, mit einer „Capture the Flag“-Übung, die von Wiz durchgeführt wurde, um die teamübergreifende Arbeit zu unterstützen und die Einführung der Wiz-Technologie im gesamten Unternehmen zu fördern. Der nächste Schritt ist das Onboarding der Teams des Security Operations Center (SOC) von esure, die sich umfassend um die Sicherheit kümmern und so dem Unternehmen die Freiheit geben, zu wachsen und neue Produkte zu entwickeln.
„Der nächste Schritt auf unserem Weg zur Sicherheit besteht darin, immer besser und besser zu werden und uns kontinuierlich zu verbessern“, sagt Frost. „Wiz ist von grundlegender Bedeutung für diese Reise durch unsere Cloud.“
Möchten Sie erfahren, wie Ihr Cloud-Sicherheitsprogramm die gleichen Ergebnisse erzielen kann wie esure? Werfen Sie einen genaueren Blick auf Wiz' Cloud-Sicherheitslösungen für Finanzdienstleistungen.
