Challenge
Die umfangreiche Produktsuite von Zendesk erfordert einen großen Cloud-Fußabdruck, und das Unternehmen hatte Schwierigkeiten, den Überblick über seine gesamte Multi-Cloud-Umgebung zu wahren.
Entwicklungsteams hatten die Freiheit, schnell zu entwickeln und zu skalieren, aber es fehlte ihnen an Einblicken in die Bedeutung oder den Ort von Schwachstellen, wenn sie von der Sicherheitsbehörde gemeldet wurden.
Getrennte Sicherheitstools erforderten dedizierte Spezialisten für die Wartung und Überwachung, was Zeit und Ressourcen von höherwertigen Projekten kostete.
Lösung
Zendesk erhielt einen vollständigen Überblick über seine Cloud-Umgebung und zentralisierte die Sicherheit in seinen Entwicklungs- und Cloud-Sicherheitsteams
Durch die Nutzung priorisierter Empfehlungen und Erkenntnisse in Wiz sind die Entwicklungsteams von Zendesk nun in der Lage, ihre spezifischen Assets aus der Sicherheitsperspektive zu besitzen und ihre Aufmerksamkeit auf kritische Schwachstellen zu richten.
Zendesk sichert seine Container-Images und IaC-Konfigurationen proaktiv in der Entwicklung, sodass Entwickler Zeit für die Entwicklung neuer Produkte und Funktionen aufwenden können.
Consolidated visibility
across a complex environment into a single pane of glass
Eliminated 96%
of critical vulnerabilities
Improved collaboration
across security and development teams with 1,200+ Wiz users
Auf dem Weg zu einem multinationalen Branchenführer
Die Mitbegründer von Zendesk – Morten Primdahl, Alexander Aghassipour und Mikkel Svane – entwickelten 2007 die erste Version der digitalen Kundensupport- und Servicelösung in einer kleinen Wohnung in Kopenhagen. Innerhalb der ersten Monate hatte das Unternehmen fast 1.000 Testkunden, 2009 war es finanziert und heute ist es ein Multimilliarden-Dollar-Unternehmen mit mehr als 6.000 Mitarbeitern auf der ganzen Welt. Die Produktpalette umfasst eine breite Palette von Service- und Vertriebslösungen, jede mit ihren eigenen Tools.
Um dieses Ökosystem zu unterstützen und seinen Kunden die Möglichkeit zu geben, großartige Kundenerlebnisse zu bieten, benötigt das Unternehmen eine kontinuierlich wachsende Cloud-Umgebung. Dazu gehören mehrere große Cloud-Anbieter, containerisierter Speicher, Kubernetes-Cluster und mehr als 10.000 virtuelle Maschinen (VMs), die alle 800+ Dienste auf der gesamten Plattform unterstützen. In einer so komplexen Umgebung hatte das Unternehmen Schwierigkeiten, den Überblick über jeden Winkel zu behalten, und seine Sicherheitstools erforderten die Unterstützung von Spezialisten, die dann ihre Zeit nicht für die Entwicklung neuer Lösungen aufwenden konnten. Zendesk wusste, dass es vereinfachen und automatisieren musste, um die Sicherheit neben seiner Cloud-Infrastruktur zu skalieren.
Zusätzlich zu diesen technischen Herausforderungen wollte Zendesk die Zusammenarbeit zwischen Entwicklungs- und Entwicklungsteams fördern. Mit 30 Product Security Engineers und fast 2.000 Software Engineers war es für das kleine Sicherheitsteam schwierig, alles selbst zu verwalten. "In einer so großen Umgebung kann niemand alles wissen", sagt Andrew Wagner, Director of Engineering bei Zendesk. "Um Probleme effektiv anzugehen, müssen Sicherheit und Entwickler zusammenarbeiten. Mein Team musste in der Lage sein, ein Problem an die Sicherheitskräfte zu wenden und nach ihrer Meinung zu fragen, anstatt nur auf Anweisungen zu warten." Im Zuge dieser Verschiebung hin zu einer proaktiveren Sicherheitsstrategie wurde die Vision von Zendesk auf die Probe gestellt, als es darum ging, Schwachstellen im Zusammenhang mit Log4Shell schnell aufzudecken.
Früher waren wir eine sehr reaktive Sicherheitsorganisation, aber heute ist es unser Ziel, Secure-by-Design-Produkte zu entwickeln, um diese Standards aufrechtzuerhalten und schrittweise zu verbessern. Wiz gibt uns einen Einblick, wo Risiken liegen, damit wir Fehlkonfigurationen beheben und die Wahrscheinlichkeit verringern können, dass sie erneut auftreten
Das Unternehmen evaluierte neue Sicherheitslösungen, als es von Log4Shell erfuhr, aber ohne eine Möglichkeit, seine gesamte Cloud-Umgebung leicht zu überblicken, war es unmöglich, potenzielle Schwachstellen effizient zu finden. "Mit Geniekonnten wir alles in unserer gesamten Umgebung sehen und sehen, wo wir Log4Shell einsetzten", sagt Koen Hendrix, Director of Product Security bei Zendesk. "Unser Vertrauen in unser Cloud-Inventar und unsere Abdeckung ist von vielleicht 60 % auf 100 % gestiegen. Wir konnten alle unsere Lücken sehen und über Nacht damit beginnen, sie zu schließen. Wir wussten, wie wir unsere Sicherheitslage verbessern konnten, und das machte Wiz zu einer einfachen Wahl."
Aufdeckung blinder Flecken zur Erweiterung der Sicherheitsabdeckung
Nachdem sich Zendesk für die Implementierung von Wiz entschieden hatte, konnte das Unternehmen schnell und einfach bereitstellen, da das Sicherheitsteam keine Agenten in der Cloud installieren musste. "Wiz gab uns die Möglichkeit, unseren Fußabdruck schnell zu implementieren und zu überprüfen", sagt Wagner. "Wir konnten blinde Flecken in unseren VM-Daten und all unseren Umgebungen aufdecken, ohne eine Lösung aus unterschiedlichen Quellen zusammenschustern zu müssen."
Durch die Konsolidierung von Transparenz und Tools in einer einzigen Oberfläche kann Zendesk die Risiken vollständig kennen und sich auf einen proaktiveren Ansatz für die Cloud-Sicherheit konzentrieren. "Wir haben ein besseres Bewusstsein für die Technologie, die unsere Ingenieure verwenden, wir können ständig Updates zum Compliance-Status bereitstellen und wir haben alles an einem einzigen Ort", sagt Hendrix. "Dadurch können wir Risiken schneller als je zuvor finden und angehen und mehr Zeit für höherwertige Projekte aufwenden." Seit der Implementierung von Wiz hat das Unternehmen die Schwachstellen außerhalb der SLA um 95 % reduziert und 96 % seiner gesamten kritischen Schwachstellen behoben.
Als Log4Shell auf den Markt kam, haben wir Wiz getestet, und das Team hat eng mit uns zusammengearbeitet, um unsere gesamte Cloud auf Schwachstellen zu überprüfen. Nachdem ich den Security Graph gesehen hatte, wusste ich, dass er genau richtig war. Wiz ist das einzige Anbieter-Tool, für das ich mich persönlich bei Zendesk stark eingesetzt habe, weil ich wusste, dass es unser Problem lösen würde.
Da Zendesk mehr Kontext an einem Ort bietet, können Sicherheits- und Engineering-Teams auch fundiertere Entscheidungen darüber treffen, wie und wo sie ihre Zeit verbringen und welche Probleme am wichtigsten zu beheben sind. Teams können problemlos auf Tags, Metadaten und die integrierten Priorisierungsempfehlungen von Wiz verweisen, um ein vollständiges Verständnis der Nuancen bestimmter Probleme zu erhalten. Das bedeutet, dass Ingenieure, die über bestimmte Assets und Projekte verfügen, ihr Wissen einbringen und sich mit der Sicherheit darüber abstimmen können, wie ein Problem am besten gelöst werden kann. "Nehmen wir an, unser Engineering-Team hat Zeit, 10 Aufgaben in einer Woche zu erledigen. Früher haben wir ihnen vielleicht einfach 50 Aufgaben gegeben, und sie wussten nicht, wo sie anfangen sollten", erzählt Hendrix. "Jetzt können wir zwei oder drei spezifische Themen ansprechen und erklären, warum sie wichtig sind."
Integration von Sicherheit in jede Schicht jedes Produkts
Mehr als die Hälfte der 2.000-köpfigen Entwicklungsorganisation von Zendesk nutzt inzwischen Wiz, und da immer mehr Mitglieder darauf vertrauen, dass es eine Quelle der Wahrheit ist, können Sicherheits- und Engineering-Teams mit einer gemeinsamen Sprache besser zusammenarbeiten. "Mein Team'Der Fokus liegt darauf, die Sicherheitslage des Produkt-Stacks von Zendesk auf jeder Ebene des Produkts zu verbessern", sagt Hendrix. "Das bedeutet, dass von dem Moment an, in dem ein Ingenieur eine Idee hat, über das Schreiben von Code bis hin zur Bereitstellung in der Produktion sicher ist. Da unsere Ingenieure jetzt Wiz verwenden, können sie auch mit ihren eigenen Erkenntnissen zu uns zurückkehren, und das hat unsere Teams näher zusammengebracht."
Mit Wiz CLI hat das Team Schwachstellen-Scans für Container-Images implementiert und scannt und erstellt Flags während der lokalen Entwicklung. Zendesk warnt Techniker sanft vor Fehlkonfigurationen, bevor sie fortfahren, damit sie sich leicht anpassen und mit der Entwicklung fortfahren können. Dadurch wird auch sichergestellt, dass potenzielle Schwachstellen abgefangen werden, wenn sie in Staging-Umgebungen gelangen, und die Produktion nicht gefährden. "Wir wissen, dass wir Menschen nicht vollständig davon abhalten können, ein anfälliges Image aufzubauen, aber wenn wir ein Problem melden können, müssen wir uns keine Sorgen über ein neues SLA machen", sagt Wagner.
Wiz gibt uns eine gemeinsame Sprache zwischen Sicherheit und Technik. Es'Es ist ein Tool, auf das jeder zugreifen kann, es ist super intuitiv und es ist einfach zu nutzen, da der Kontext, den wir für die Zusammenarbeit und unsere Arbeit benötigen, an einem Ort ist.
Dieser kollaborative Ansatz für die Sicherheitsüberwachung hat es Zendesk ermöglicht, seinen Ansatz für die Sicherheit von links und sicherem Code zu einem früheren Zeitpunkt im Entwicklungsprozess schrittweise zu verlagern. "Unsere Sicherheitsgruppe und meine Ingenieure können jetzt gemeinsam für die Sicherheit unserer Lösungen verantwortlich sein und diese gemeinsam steuern, da wir über ein einheitliches Tool verfügen", sagt Wagner.
Das Team kann jetzt auch seine Umgebung überwachen und schützen, um die Einhaltung seiner föderalen Partnerschaften zu verbessern, indem es Wiz Laufzeit-Sensor. "Mit Wiz Sensor können wir unsere Compliance-Frameworks kontinuierlich evaluieren und unseren Partnern leicht zeigen, dass wir unsere FedRAMP-, SOC II-, PCI- und andere Anforderungen erfüllen, da wir alles in Echtzeit sehen können", sagt Wagner. "Das ist von unschätzbarem Wert, weil wir mit den sich ändernden Standards Schritt halten und diese wertvollen Partnerschaften aufrechterhalten können."
Implementierung neuer Sicherheitsvorkehrungen für eine wachsende Cloud-Infrastruktur
Im Zuge der Weiterentwicklung seines Ansatzes für die Cloud-Sicherheit prüft Zendesk die Verwendung von Wiz Verteidigen um die Laufzeitsicherheit zu verbessern und Schwachstellen mit einem höheren Signalpegel zu überwachen. "Echtzeit-Transparenz wird ein entscheidender Faktor sein, da wir die Zeit verkürzen können, die für die Erkennung, Untersuchung und Eindämmung von Cloud-Angriffen benötigt wird", sagt Hendrix.
Das Team sieht Wiz auch als Schlüsselelement seiner kontinuierlichen Strategie, weiter nach links zu rücken. "Wir wollen in der Lage sein, gleich zu Beginn unseres Prozesses immer früher nach Fehlkonfigurationen und Tag-Problemen zu suchen", fügt Hendrix hinzu. "Wiz ist ein zentraler Bestandteil der Reifung unseres Sicherheitsansatzes."
