Challenge
Nach der Zusammenführung von zwei Unternehmen hat das Sicherheitsteam von Vistra versuchte, die Transparenz der neu konzipierten Multi-Cloud-/Multi-Architektur-Umgebung von Vistra zu verbessern.
Security wollte auch die Governance und die Risikolage der erweiterten Cloud-Umgebung verbessern.
Mit mehreren Einzellösungen versuchte das Sicherheitsteam, sein Toolkit zu verbessern und zu konsolidieren.
Lösung
Vistra kann sehen, wie alle Ressourcen miteinander verbunden sind, und nutzt Wiz, um funktionsübergreifenden Teams die Zusammenarbeit bei der Integration und Sicherung neuer Geschäftseinheiten zu ermöglichen' Cloud-Umgebungen nach der Fusion.
Vistra jetzt Identifiziert Risiken mit hoher Priorität und die Risikolage wichtiger Assets mithilfe von Wiz, um Abhilfemaßnahmen zu priorisieren und die Governance zu stärken.
Vistra reduzierte den Bedarf an Multi-Point-Security-Lösungen mit der Unterstützung von Wiz für hybride Umgebungen und agentenlose Prozesse, rationalisierte Sicherheitsprozesse und senkte die Gesamtausgaben.
Complete visibility
across the multi-cloud environment
Proactively reduces risks
and ensures compliance across all businesses and new products
Deployed a full-featured cloud security platform
reducing the need for multiple point solutions
Verbesserung der Governance in einer wachsenden Multi-Cloud-Umgebung
Vistra ist ein führender Anbieter von grundlegenden Unternehmensdienstleistungen wie Personalwesen, Steuern, Management von Rechtseinheiten und Einhaltung gesetzlicher Vorschriften, die Unternehmen und private Kapitalfonds dabei unterstützen, über ihren gesamten Geschäfts- und Investitionslebenszyklus hinweg zu wachsen. Das neu gestaltete Vistra, das durch den Zusammenschluss der Tricor Group und Vistra entstanden ist, hat ein rasantes Geschäftswachstum erlebt und betreut eine große Multi-Cloud-/Multi-Architektur-Umgebung.
Infolgedessen benötigten das Sicherheitsteam und andere wichtige Stakeholder einen ganzheitlichen Einblick in ihren globalen Cloud-Fußabdruck mit der Möglichkeit, Governance konsistent und schnell anzuwenden und durchzusetzen.
Wir wollen das, was wir haben, konsolidieren und die besten Tools, Methoden und Integrationen für unser Sicherheitsteam zusammenbringen. Wenn wir beispielsweise ein Risiko oder einen Vorfall auf einer Plattform feststellen, sollten wir in der Lage sein, auf einer anderen Plattform zu reagieren. Alles sollte nahtlos und reibungslos zusammenarbeiten.
Linksverschiebung zur Entwicklung von Produkten, die von vornherein sicher sind
Vistra wollte sowohl kurz- als auch langfristige Ziele mit Sicherheit erreichen. Kurzfristig sah das Unternehmen eine Möglichkeit, Sicherheitstools zu rationalisieren. Durch die Konsolidierung auf Best-of-Breed-Lösungen würde das Sicherheitsteam eine ganzheitliche Transparenz erhalten, die Konsistenz der Governance mit einem Satz von Richtlinien sicherstellen und in der Lage sein, Risiken zu identifizieren und Abhilfemaßnahmen zu priorisieren.
"Ursprünglich haben wir Cloud-native CDR-Funktionen auf verschiedenen Plattformen verwendet, aber dies führte dazu, dass wir mehrere Richtlinien, Regeln und Überwachungsmechanismen in unserer gesamten Umgebung erstellten, und das zu einem Zeitpunkt, an dem wir die Funktionalität zentralisieren und konsolidieren wollten", sagt Him Tang, Cyber Security Manager bei Vistra.
Rationalisierung der Zusammenarbeit, um kontinuierliche Verbesserungen zu ermöglichen
Vistra prüfte mehrere Anbieter und entschied sich aufgrund der Breite der Dienstleistungen, der Benutzerfreundlichkeit und der Kosten für Wiz. Durch den Einsatz von Wiz erhielt Vistra die ganzheitliche Transparenz und Governance für die gesamte Cloud-Infrastruktur, die das Sicherheitsteam suchte. Das Team nahm schnell Wiz CNAPP Funktionalitäten, einschließlich Wiz DSPMund IaC-Scannen um Sicherheitsrisiken frühzeitig zu erkennen.
Um kritische Angriffspfade zu identifizieren, verwendet das Sicherheitsteam Wiz, um jede Ressource und Technologie in seiner Cloud-Umgebung über virtuelle Maschinen, Container und serverlose Funktionen hinweg zu scannen. Alle Vistra-Teams greifen jetzt auf Wiz zu, um den gleichen Überblick über Cloud-Ressourcen zu erhalten, mit integrierten Risiken, Kontext und Korrelationen, während IT und Sicherheit die Prozesse für die Verwaltung des Cloud-Bestands optimieren.
Das Sicherheitsteam verwendet diese Informationen und automatisierte Workflows, um Risiken wie PII- oder PCI-Gefährdungen zu priorisieren und zu beheben. In ähnlicher Weise erhalten Entwickler umsetzbare Erkenntnisse über Risiken mit hoher Priorität, die während des Produktentwicklungszyklus angegangen werden müssen, ohne dass es zu Rauschen kommt oder Kontext und Korrelationen manuell erstellt werden müssen.
"Früher konnten wir Richtlinien in unseren AWS- und Azure-Konten festlegen, aber die Inkonsistenzen und anderen Risiken nicht sehen. Mit Wiz haben wir die Transparenz und die Einblicke, um Konfigurationen und Richtlinien für alle unsere Mandanten proaktiv zu überprüfen, was es Vistra ermöglicht, eine Kultur der kontinuierlichen Verbesserung zu schaffen", sagt Tang.
Während Vistra seinen Weg nach links fortsetzt, schafft es eine echte DevSecOps-Funktion, indem es Entwicklern die Erkenntnisse liefert, die sie benötigen, um Risiken während des gesamten Produktentwicklungszyklus zu identifizieren und anzugehen, anstatt nachträglich Korrekturen vorzunehmen.
"DevSecOps reift für unser Unternehmen immer noch. Daher scannen wir neue Anwendungen, um sicherzustellen, dass Entwicklungsteams kritische Risiken angehen, bevor sie neue Produkte auf den Markt bringen", sagt Tang.
Auf dem Weg zu einem Infrastructure-as-Code-Modell hilft uns Wiz dabei, nach links zu wechseln und Code zu scannen, um Risiken zu einem früheren Zeitpunkt im Produktentwicklungszyklus zu erkennen und zu beheben. Die Verbesserung dieser Funktionen hilft uns, Geschäftsinhabern zu versichern, dass Anwendungen von Grund auf sicher sind.
Entwicklungs-, Infrastruktur- und Sicherheitsteams nutzen Wiz Projects und rollenbasierte Zugriffskontrollen, um die Zusammenarbeit von internen und externen Mitwirkenden in Wiz zu ermöglichen. Das gemeinsame Team nutzt eine Cloud-Landing-Zone und eine Wiz-Compliance-Prüfung, um neue Geschäftsbereiche schnell und sicher einzubinden. Mit dieser Funktion bewertet und verwaltet Vistra automatisch die Einhaltung gesetzlicher Vorschriften mit einer Risikobewertung, integrierten Frameworks und Berichten.
Durch die Ausstattung funktionsübergreifender Teams mit mehr Transparenz, Risikoidentifikation und Abhilfefunktionen hat Vistra seine Cloud-Sicherheitslage erheblich verbessert und gleichzeitig die betriebliche Effizienz verbessert.
Wiz bietet eine zentrale Oberfläche für die Cloud-Sicherheit bei Vistra. Wir haben die Transparenz, die Tools für die Zusammenarbeit und die Berichtsfunktionen erhalten, die wir benötigen, um die Integration unserer beiden Unternehmen zu beschleunigen und eine sichere Produktentwicklung zu ermöglichen.
Sich schnell entwickelnde Sicherheitsfunktionen zur Unterstützung des zukünftigen Wachstums
Vistra hat die Sicherheitsgrundlage geschaffen, um ein anhaltend schnelles Wachstum mit Wiz zu ermöglichen. Funktionsübergreifende Teams können schnell und sicher neue Systeme einführen, sichere Produkte entwerfen und die Zusammenarbeit optimieren. Teams haben einen vollständigen Überblick über ihre Multi-Cloud-Infrastruktur mit kontextualisierten Risiken und Korrelationen, die es ihnen ermöglichen, Sicherheitsstrategien festzulegen, Risikomanagementfunktionen weiterzuentwickeln und Schwachstellen proaktiv anzugehen.
Als nächstes plant Vistra die Erkundung Wiz CDR um die Fähigkeiten zur Erkennung, Untersuchung und Reaktion auf Bedrohungen zu verbessern. Wiz CDR kombiniert seinen agentenlosen, grafikbasierten Ansatz mit Cloud-Aktivitätsprotokollen und ermöglicht es Teams, Bedrohungen proaktiv zu identifizieren, die Sicht von Angreifern zu simulieren, ihren Schaden zu begrenzen und Forensik in großem Umfang durchzuführen, während sich eine Bedrohung entwickelt.
