Wiz Security Trust Center

Starke Authentifizierung und Autorisierung

Wiz erzwingt die Verwendung einer Single Sign On (SSO)-Plattform und der Phishing-resistenten FIDO2 Multi-Faktor-Authentifizierung (MFA) für den Zugriff von Mitarbeitern auf Wiz-Systeme. Wiz verwendet IAM-Rollen und kurzlebige Token für den Zugriff auf Cloud-Umgebungen. Der Zugriff auf Entwicklungs- und Produktionsumgebungen wird durch die Verwendung eines Just-in-Time-Administrationsprozesses zur Minimierung ständiger Berechtigungen, Überprüfungen des Gerätestatus und die Verwendung einer Zero-Trust-Netzwerkzugriffslösung weiter eingeschränkt.

Cloud-Sicherheitsarchitektur

Die Wiz-Produktionsumgebung läuft als unveränderliche Infrastruktur und wird streng über Infrastructure-as-Code verwaltet. Automatisierte Mechanismen, die in den SDLC-Prozess und die CI/CD-Pipeline von Wiz integriert sind, stellen sicher, dass Konfigurationsänderungen streng kontrolliert, Sicherheitsprüfungen unterzogen und geprüft und genehmigt werden. Nicht autorisierte Änderungen an der Produktion werden automatisch erkannt und an Sicherheits- und Betriebsteams weitergeleitet. Wiz nutzt Cloud-native Netzwerksicherheitsmechanismen in Verbindung mit seinen Authentifizierungs- und Autorisierungskontrollen, um den Fernzugriff auf die Cloud-Infrastruktur einzuschränken, einen sicheren Perimeter zu erzwingen und interne Umgebungen zu trennen.

Wiz4Wiz

Wiz verwendet eine interne Bereitstellung seines eigenen Produkts ("Wiz4Wiz"), um seine Cloud-Umgebungen kontinuierlich zu überwachen und zu schützen. Sicherheits- und Engineering-Teams arbeiten auf der Wiz-Plattform zusammen, um Schwachstellen zu identifizieren, zu priorisieren und zu beheben, präventive Kontrollen durchzusetzen und zu validieren sowie potenzielle Bedrohungen zu erkennen und darauf zu reagieren. Wiz wendet die Best-Practice-Frameworks der Branche sowie die Anleitung der internen Forschungsteams von Wiz an, um seine Cloud-Umgebungen kontinuierlich zu härten und zu bewerten.

Sicherer Entwicklungslebenszyklus

Wiz gewährleistet die Sicherheit und Integrität seiner Infrastruktur und seines Produktcodes im gesamten SDLC. Zu diesen Mechanismen gehören das automatisierte Scannen von Geheimnissen, statische und dynamische Sicherheitstests, das Scannen von Container-Image-Schwachstellen mit WizCLI, das obligatorische Peer-Review für Codeänderungen und zusätzliche Sicherheitsfunktionen innerhalb der Quellcodeverwaltungs- und CI/CD-Plattformen von Wiz. Das Sicherheitsteam von Wiz arbeitet mit der Technik zusammen, um Bedrohungsmodelle, Sicherheitsdesign-Reviews und Sicherheitsimplementierungs-Reviews von neuen Produktfunktionen und Änderungen an der Entwicklungs- und Produktionsinfrastruktur durchzuführen.

Sicherheitsbewusstsein

Zu den Sensibilisierungsprogrammen von Wiz gehören wiederkehrende Schulungen zu Informationssicherheit und Datenschutz, fortlaufende Anleitungen zu neu auftretenden Bedrohungen sowie teamspezifische Richtlinien und Verfahren, um sicherzustellen, dass die Mitarbeiter sichere Praktiken in ihrer täglichen Arbeit anwenden können. Durch die Förderung einer Kultur des Sicherheitsbewusstseins kann Wiz das Risiko menschlicher Fehler, die zu Datenschutzverletzungen oder Sicherheitsvorfällen führen, erheblich reduzieren. Dieser proaktive Ansatz schützt nicht nur Kundendaten, sondern stärkt auch den Ruf von Wiz, baut Kundenvertrauen auf und gewährleistet die Einhaltung gesetzlicher Vorschriften, was letztendlich zum langfristigen Erfolg beiträgt.

Protokollierung, Erkennung und Reaktion

Wiz verwendet ein Security Information Event Management-System, das Sicherheitstelemetriedaten aus Unternehmens-, Entwicklungs- und Produktions-Cloud-Umgebungen aufnimmt. Eingehende Daten werden über eine Erkennungspipeline verarbeitet und in einem Security Data Lake aufbewahrt. Erkennungen und Warnungen werden über Ticket-, Messaging- und Paging-Systeme an Bereitschaftstechniker weitergeleitet. Das Sicherheitsteam von Wiz ist weltweit tätig, um Ereignisse schnell zu selektieren, zu untersuchen und zu beheben.

Endpunkt-Sicherheit

Auf Wiz-Workstations läuft Endpoint Detection and Response-Software, die Malware- und Angriffspräventions-, Erkennungs-, Aktivitätsprotokollierungs-, Eindämmungs- und Untersuchungsfunktionen bietet. Wiz setzt außerdem Data Loss Prevention-Software ein, um den Fluss sensibler Informationen innerhalb der Wiz-Systeme zu schützen und zu verwalten. Patching und Sicherheitskonfigurationsmanagement werden über Mobile Device Management- und Mobile Application Management-Lösungen abgewickelt.

Risikomanagement

Der Risikomanagementprozess von Wiz ist in geschäftliche und technische Funktionen im gesamten Unternehmen integriert und hilft Teams, Möglichkeiten zur Verbesserung der Sicherheit und des Datenschutzes sowie zur Abwehr von Bedrohungen zu identifizieren. Auf diese Weise kann Wiz kritische Vermögenswerte schützen und seinen Kunden-, Regulierungs- und rechtlichen Verpflichtungen nachkommen. Ein effektives Risikomanagement ermöglicht es Wiz auch, sich an die sich ständig verändernde Landschaft der Cyberbedrohungen anzupassen und weiterzuentwickeln, um einen langfristigen Erfolg bei der Bereitstellung robuster Sicherheitslösungen zu gewährleisten.

Risikomanagement für Lieferanten

Die Gewährleistung der Sicherheit und Zuverlässigkeit von Lieferantenprodukten und -dienstleistungen ist von entscheidender Bedeutung, um die Integrität der Angebote von Wiz zu wahren und Kundendaten zu schützen. Ein robustes Risikomanagementprogramm für Lieferanten trägt dazu bei, potenzielle Verstöße zu mindern, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und das Vertrauen der Kunden zu erhalten, was es zu einem wesentlichen Bestandteil der allgemeinen Sicherheitsstrategie von Wiz macht.

Audits und Compliance

Wiz unterhält ein umfassendes Audit- und Compliance-Programm, um Branchenstandards, regulatorische Anforderungen und Datenschutzgesetze weltweit einzuhalten. Solche Programme stellen sicher, dass der Betrieb von Wiz die etablierten Richtlinien und Best Practices erfüllt oder übertrifft, und helfen dabei, potenzielle Schwachstellen zu identifizieren und zu beheben. Wiz beaufsichtigt seine unternehmensweiten Sicherheits- und Datenschutzprogramme durch Dritte sowie wiederkehrende technische Bewertungen seiner Produkte und Infrastruktur, wie z. B. Penetrationstests und Red Teaming.

Verschlüsselung und Schlüsselverwaltung

Wiz verwendet Cloud-native Schlüssellösungen wie AWS KMS für die sichere Speicherung und Verwaltung von Schlüsseln. Automatisierte Kontrollen stellen sicher, dass Schlüssel nicht über unsichere oder nicht genehmigte Methoden gespeichert oder übertragen werden.