ChallengeDer Anbieter von Digital-Analytics-Lösungen FullStory wollte seine Transparenz über die Cloud-Sicherheit erweitern, um schwer vorhersehbare Schwachstellen zu identifizieren und zu entschärfen.
Das Sicherheitsteam von FullStory versuchte, die unternehmensweite Zusammenarbeit zu fördern und sein Sicherheitsethos zum Nutzen aller im gesamten Unternehmen zu verankern.
FullStory benötigte eine Lösung, die in der Lage war, kritische Risiken zu identifizieren und priorisierte Warnungen zu generieren, die die Engineering-Funktion nicht überlasteten.
LösungFullStory korreliert Cloud-Sicherheitsprobleme in seiner gesamten Cloud-Umgebung und ermöglicht den Laufzeitkontext durch die Bereitstellung der Wiz Laufzeit-Sensor in seinen Kubernetes-Clustern.
Mit den von Wiz generierten Erkenntnissen kann das Sicherheitsteam seinen Kollegen aus der Entwicklung besser erklären, warum Risiken gemindert werden müssen, wodurch die Partnerschaft und Zusammenarbeit weiter gestärkt werden.
FullStory verwendet Wiz, um zwischen kritischen und hypothetischen Risiken, Fehlalarmen und niedrigen/mittleren Risiken zu unterscheiden, um die Zuweisung von Sicherheitsressourcen zu optimieren.
Aufdeckung der Auslöser, die das Kaufverhalten der Verbraucher beeinflussen Gegründet 2014 in Atlanta, Ausführliche Geschichte ist ein Marktführer im Bereich Digital Analytics Software für digitale Unternehmen. Die Plattform bietet Unternehmen ein vollständiges Bild davon, wie Verbraucher ihre Website, mobile App oder Softwareplattform nutzen, damit sie die CX verbessern und die Konversionsraten der Kunden steigern können.
Mit seiner Session Replay-Technologie ermöglicht FullStory Anbietern von digitalen Unternehmen zu sehen, wann ein Kunde seinen Einkaufswagen verlässt und warum, und gibt Anbietern die Möglichkeit, UX-Probleme anzugehen. FullStory verwendet die Autocapture-Technologie, um diese Erkenntnisse offenzulegen und die relevanten HTML-Abschnitte zu extrahieren, die für die Nachbildung von Kundeninteraktionen erforderlich sind.
Um dies zu ermöglichen, verwendet das FullStory-Team Google Kubernetes Engine für Containerbereitstellungen, Google Compute Engine zum Hosten virtueller Maschinen und BigQuery für die Datenspeicherung.
Mark Stanislav, VP of Security Engineering, Governance, Risk and Compliance bei FullStory, sagt, dass die Konzentration auf einen einzigen Cloud-Anbieter eine strategische Entscheidung ist: "FullStory ist von Google Cloud durchdrungen und war es schon immer. Große Sicherheit kommt letztlich auf die Minimierung der Komplexität zurück. Je weniger Komplexität, desto einfacher ist es, Ihre Ziele zu erreichen."
Ermöglichung der Engineering-Funktion durch verstärkte Zusammenarbeit Die Verbesserung der Beziehung zwischen den Software-Engineering- und Sicherheitsteams von FullStory war für Stanislav eine der wichtigsten Prioritäten, als er im September 2022 zum VP of Security Engineering befördert wurde. Ohne jeglichen Einfluss des Sicherheitsteams hatte die Engineering-Abteilung des Unternehmens bereits robuste Prozesse rund um das Design von Produktsoftware, die Erstellung von Dokumenten und die Begutachtung durch Fachkollegen entwickelt. Das Engineering-Team hatte seine eigenen Genehmigungsprozesse, die eine Analyse der Cloud-Sicherheitsrisikoblocker für jedes Produkt umfassten.
Stanislav sagt, sein Ziel sei es, dieses Umfeld zu fördern und die Ingenieure von FullStory weiter zu unterstützen, anstatt sie mit Sicherheitshürden zu blockieren. "Bei FullStory gibt es diese strenge und ausgereifte Engineering-Kultur", erklärt er. "Wir stellen extrem talentierte und umsichtige Ingenieure ein, also wollen wir, dass sie sicher in Bewegung bleiben, anstatt ihnen Sicherheitsbarrieren vor den Kopf zu stellen", erklärt er.
Laut Stanislav folgt jede Bereitstellung von FullStory-Software einem ähnlichen Muster. Dieser Vorlagenansatz gewährleistet maximale Konsistenz bei der Erstellung und Bereitstellung neuen Codes. Doch trotz des sicherheitsbewussten Engineering-Teams von FullStory und einer optimierten Google Cloud-Umgebung mit standardisierten Bereitstellungen benötigten Stanislav und sein Team immer noch eine schnelle und effektive Möglichkeit, unvorhergesehene Bedrohungen für die Cloud-Umgebung des Unternehmens zu identifizieren und abzuwehren.
Viele Sicherheitsteams sind sehr gut darin, die Dinge zu sichern, über die sie Bescheid wissen. Das eigentliche Risiko liegt also in den Dingen, von denen sie nichts wissen, oder in der Technologie, von der sie nicht wussten, dass sie eingesetzt wird. Wir brauchten eine Lösung, die sich auf unsere Cloud-Sicherheitslücken, die Ausreißerrisiken und die Unbekannten konzentrieren konnte.
Die Herausforderung bei der Bereitstellung einer granularen Cloud-Sicherheitslösung besteht jedoch darin, dass Sicherheitsteams mit Benachrichtigungen (einschließlich hypothetischer und falsch positiver Ergebnisse) überflutet werden können, und dieses Rauschen kann kritische Schwachstellen überdecken.
Stanislavs Team benötigte eine Lösung, die nicht nur kritische Risiken priorisierte, sondern auch einen umfassenden Kontext lieferte, damit sie dem Engineering-Team die Dringlichkeit erklären konnten, bestimmte Schwachstellen zu entschärfen. Dieses Maß an geteilten Erkenntnissen würde die Zusammenarbeit innerhalb von FullStory weiter stärken.
Nutzung einer "schockierend schnellen" Lösung, die von Grund auf neu entwickelt wurde FullStory hat die Wiz-Plattform aufgrund von mindestens zwei USPs übernommen. Der erste war die Geschwindigkeit, mit der Benutzer mit der Plattform interagieren können. "Selbst wenn man sich auf sehr komplexe, nuancierte Anfragen konzentriert, sind die Antworten von Wiz schockierend schnell", sagt Stanislav. "Sie können fast jede Art von Anfrage erstellen und Wiz wird fast sofort antworten. Bei anderen CSPMs kann es Minuten dauern, bis eine Antwort generiert wird, was sehr frustrierend sein kann."
FullStory war anfangs vorsichtig mit der Einführung von Wiz's Runtime Sensor, der einen "Land and Expand"-Ansatz verfolgt, der es ihnen ermöglicht, die Auswirkungen der Lösung vollständig zu bewerten. Sie bewiesen, dass der Sensor die Leistung nicht beeinträchtigt und fanden einen enormen Wert in den neuen Anwendungsfällen, die der Sensor freischaltet. Jetzt wird der Runtime Sensor in den von GKE verwalteten Clustern bereitgestellt. Dies ermöglicht Echtzeitüberwachung, Echtzeiterkennung und Laufzeitkontext. Stanislav sieht die zusätzlichen Sensorfunktionen als natürliche Erweiterung des agentenlosen Kernprodukts. Das Hinzufügen des Laufzeitkontexts, bei dem die Schwachstelle ausgeführt wird, zeigt, dass die Lösung die Risikominderung korrekt priorisiert, was dem Team von Stanislav eine weitere Vertrauensebene verleiht.
Das Risiko bei anderen hochautomatisierten Technologien besteht darin, dass sie so viele Warnungen ausgeben, dass die Benutzer abschalten. Wiz klassifiziert das Risiko jedoch auf eine sehr umsetzbare Weise. Wir erhalten nicht 200 Warnungen pro Tag, wenn wir also eine kritische Warnung erhalten, wissen wir, dass wir sie sofort beheben müssen.
Diese granulare Transparenz kann es dem Team von Stanislav beispielsweise ermöglichen, einen exponierten Service-Port schnell zu identifizieren – ein Problem, dessen Identifizierung sonst Monate oder Jahre dauern könnte. Sie können auch neue Code-Schwachstellen sofort vor einer Produkteinführung isolieren und so das Cloud-Sicherheitsrisiko auf praktisch Null reduzieren.
Eines der anderen wichtigen Verkaufsargumente für FullStory ist, dass die Wiz-Plattform unabhängig entwickelt wurde, ohne dass klobige Technologie von Drittanbietern hinzugefügt wurde. "Bei vielen Cybersicherheitslösungen merkt man, dass sie nach einer Fusion oder Übernahme zusammengeschustert wurden", sagt Stanislav. "Es ist offensichtlich, dass diese Plattformen nicht die gleiche zugrunde liegende Codebasis oder die gleichen APIs haben. Wiz ist anders, weil es von Grund auf mit absichtlicher Einheitlichkeit entwickelt wurde. Die daraus resultierende hohe Qualität liegt auf der Hand."
Sicherheit zu einer gemeinsamen Verantwortung machen Stanislav und sein Team konnten die interne Zusammenarbeit weiter verbessern, indem sie den Entwicklerteams Zugang zu Wiz gewährten. Auf diese Weise können sie Risiken schneller und auf einer detaillierteren Ebene verstehen und priorisieren, indem sie das Sicherheitsdiagramm der Plattform abfragen und genaue Sicherheitsberichte erstellen.
Das Sicherheitsteam unterstützt mehr Stakeholder und erweitert seinen Einflussbereich im gesamten Unternehmen, indem es die von Wiz bereitgestellten Daten nutzt, um jeden in die Lage zu versetzen, eine Rolle beim Schutz von FullStory vor Sicherheitsbedrohungen zu spielen.
Die Ausweitung der Transparenz auf das Engineering-Team ist für Stanislav ein wichtiger Bestandteil des kollaborativen Prozesses. Er sagt, dass "es nicht gut genug ist, einem Ingenieur zu sagen, dass er eine Sicherheitslücke schließen soll, er will wissen, warum. Sie wollen Partner sein. Das bedeutet, dass auch das Sicherheitsteam eine Vorstellung davon haben muss, wie eine Lösung aussehen könnte."
Stanislav und sein Team erkunden nun aufregende neue Möglichkeiten, mit internen Stakeholdern aus einem breiteren Spektrum von Geschäftsfunktionen zusammenzuarbeiten, Schwachstellenwarnungen von Wiz auszutauschen und ihre einzigartige Botschaft zur Cloud-Sicherheit zu verbreiten.