Desafío
A medida que llegaban a las últimas etapas de su trayectoria hacia la nube nativa, ASOS necesitaba un socio de seguridad que pudiera escalar y ser tan nativo de la nube como ellos.
Cuando Log4j golpeó, ASOS necesitaba una forma limpia de identificar inmediatamente dónde estaban las instancias de Log4j.
ASOS necesitaba la visibilidad, el contexto y la automatización necesarios para priorizar y remediar Log4j.
La solución
La solución sin agentes de Wiz permitió a ASOS obtener una cobertura completa de su entorno e identificar todas las instancias de Log4j en cuestión de horas.
Wiz le dio a ASOS la base necesaria para automatizar sus esfuerzos de monitoreo de cumplimiento y fortalecimiento de la seguridad a medida que continúan su trayectoria para ser completamente nativos en la nube.
ASOS encontró un socio de seguridad que trabaja a la escala que necesitaban para crear una fuente de verdad para la seguridad en la nube.
La trayectoria de seguridad de ASOS como tienda nativa en la nube
ASOS es un destino para veinteañeros amantes de la moda de todo el mundo, con sede en el Reino Unido. Como empresa digital, invierten mucho en la nube y están en las últimas etapas de convertirse en nativos de la nube. Principalmente, son usuarios de Azure y, al igual que muchas organizaciones, su equipo de seguridad apoya una organización de ingeniería mucho más grande. Para mantenerse al ritmo de los equipos de ingeniería y del enfoque en la nube, el equipo de seguridad solo considera soluciones nativas de la nube que puedan escalar según las necesidades de su negocio.
Como equipo encargado de dar soporte a un sistema de nube en rápido crecimiento, el equipo de seguridad de ASOS se esfuerza por encontrar soluciones que les permitan escalar y obtener información más completa sobre sus entornos en la nube y cualquier riesgo potencial. Comenzaron su viaje de seguridad en la nube con herramientas nativas de seguridad en la nube, pero a medida que maduraban, querían una imagen más completa del potencial Amenazas en la nube.
La estrategia de respuesta y remediación de Log4j
El poder de una imagen completa del entorno de ASOS y sus amenazas potenciales quedó muy claro cuando Log4j golpeó. La necesidad inmediata era entender exactamente en qué parte de su entorno tenían Log4j. Con el apoyo de Wiz, el equipo desarrolló una cobertura completa de su entorno y visibilidad de dónde tenían instancias de Log4j en cuestión de horas. El escaneo sin agentes de Wiz y los conocimientos profundos sobre las cargas de trabajo ayudaron a ASOS a identificar de forma rápida y precisa dónde tenían Log4j en las imágenes de VM, las funciones sin servidor, PaaS e IaaS.
La falta de agentes de Wiz fue muy importante para nosotros. Como nuestra infraestructura está en constante evolución, la solución sin agentes de Wiz nos ayudó a obtener una cobertura del 100% de forma rápida y a escala.
ASOS también aprovechó las capacidades de Wiz para respaldar la información sobre bibliotecas de terceros. Esto proporcionó más visibilidad de su pila para que pudieran comprender el papel que desempeñaba cada solución de terceros en su entorno, lo que les permitió priorizar el riesgo potencial que representaba cada una y hacer el seguimiento de las soluciones de terceros presentes además de abordar Log4j por sí mismos.
El contexto es crucial para poder priorizar el riesgo y es algo con lo que muchas herramientas de seguridad tienen dificultades. La perspectiva de un proveedor sobre lo que es crítico no es necesariamente la misma que la nuestra. Wiz nos brinda la visión contextual de los riesgos potenciales en nuestro entorno para que podamos comprenderlos mejor y priorizarlos en función de nuestro conocimiento de lo que es crítico.
Una vez que identificaron sus instancias de Log4j, el siguiente paso fue priorizar y remediar cualquier problema. ASOS requería una vista contextual de cada instancia de Log4j en el entorno, para poder comprender dónde estaba cada instancia y cómo se relacionaba con el resto del entorno. Wiz ayudó a ASOS a identificar esta información y a crear recomendaciones para su plan de remediación. Como resultado, pudieron ocuparse de Log4j de forma rápida y eficiente en su entorno y de informar a su equipo de liderazgo.
Log4j realmente demostró el valor de Wiz para nosotros. Una vez que implementamos Wiz, rápidamente tuvimos un plan completo para la remediación que pudimos llevar a la alta dirección.
Lograr valor más allá de Log4j
ASOS encuentra continuamente formas nuevas de aprovechar Wiz. Wiz ayuda a proporcionar a ASOS una imagen integral de su sistema en la nube y le permite al equipo profundizar en los detalles de los riesgos potenciales específicos. Esto crea una base sólida para priorizar y remediar las vulnerabilidades. Para seguir expandiendo ese valor, ASOS está creando planes para automatizar su proceso de refuerzo de seguridad con Wiz. Están creando un flujo continuo entre Operaciones de Seguridad para supervisar los problemas y Garantía de Seguridad para identificar y empaquetar patrones repetidos que puedan desplazar a la izquierda al equipo de ingeniería para que lo arregle durante el proceso de desarrollo. Wiz entrega la capacidad de identificar estos patrones, crear estas políticas y automatizar su implementación en todo el proceso.
Wiz es una solución increíblemente potente y fácil de usar, fácil de configurar y que se está convirtiendo en uno de los principales conjuntos de herramientas de nuestro arsenal. El volumen y la información que obtenemos de Wiz nos ayuda a concentrarnos en el futuro.
Con su valor demostrado gracias a Log4j, Wiz se convirtió en una plataforma de referencia para ASOS. Desde la automatización hasta la supervisión del cumplimiento, ASOS recurre cada vez más a Wiz en busca de asistencia. Para un equipo de seguridad con requisitos estrictos de escala y enfoques nativos de la nube para cualquier herramienta que usen, ASOS encontró un verdadero socio en Wiz a fin de crear una fuente de verdad para su seguridad en la nube.
