DesafíoLos equipos de seguridad y desarrollo de Datavant experimentaron brechas de visibilidad en la infraestructura y los procesos de la empresa.
El ciclo de vida de desarrollo de software (SDLC) de la empresa era demasiado complejo; Los equipos individuales utilizaban diferentes herramientas y procesos, lo que creaba procesos de seguridad y corrección de riesgos incoherentes.
El enfoque descentralizado provocó la proliferación de herramientas de seguridad y aumentó los desafíos de recopilación de información y presentación de informes en el equipo.
La soluciónDatavant ahora puede ver todos sus recursos en su entorno multiempresa y multinube, aprovechando el Wiz Security Graph para representar las interconexiones y el riesgo hasta el nivel de contenedor.
Datavant aprovechó los controladores de admisión de Wiz junto con el escaneo de canalizaciones de Wiz CLI y ha agregado verificaciones de seguridad de integración e implementación, lo que permite a los desarrolladores identificar, priorizar y remediar riesgos de manera proactiva, mejorando continuamente la postura de riesgo de la empresa.
La compañía ahora está utilizando Wiz como una única plataforma de seguridad empresarial para optimizar los procesos de riesgo crítico y los informes.
Holistic visibility
across six-company infrastructure, enabling teams to remediate risk more efficiently
51% reduction
in vulnerabilities and prevented net-new critical/high vulnerabilities from being introduced to the running environment.
Consolidated 7 security tools to 1
increasing savings by 50%, which will increase as other contracts end
Modernización de la gestión de la seguridad en una infraestructura de TI compleja en un sector regulado Datavant, una empresa de atención médica que proporciona un ecosistema digital para anonimizar e intercambiar datos de pacientes de forma segura, es utilizada por más de 70,000 hospitales y clínicas, el 70% de los 100 sistemas de salud más grandes, compañías farmacéuticas y otros. Datavant anonimiza y anonimiza los datos, aprovechando tecnología como las salas limpias de datos para hacerlos accesibles a los socios. Estas organizaciones utilizan estos datos para desarrollar nuevos fármacos, terapias y servicios que mejoran la atención al paciente y los resultados.
Datavant reunió a seis empresas hermanas a lo largo de varios años. La fusión de su infraestructura creó un entorno de TI complejo, que abarca AWS, Azure y VMware Flex Cloud Storage, y numerosas herramientas de desarrollo y operaciones de TI, como Terraform, Kubernetes, GitHub y GitLab. Además, Datavant opera tanto un entorno de TI comercial para empresas del sector privado como un entorno FedRAMP® para sus clientes gubernamentales.
Debido a la estructura organizativa descentralizada de la empresa, los pods/equipos de desarrollo utilizaban sus propias herramientas y eran responsables individualmente de la seguridad de sus líneas de productos. Esto dio lugar a soluciones superpuestas, altos costos de software y políticas de seguridad de código inconsistentes. Como resultado, Datavant carecía de una visión centralizada de los riesgos de su infraestructura y aplicaciones, y no podía aplicar las mejores prácticas de seguridad y gestión de riesgos.
Queríamos pasar de un modelo de seguridad que funcionaba como un jardín amurallado a uno en el que nuestros equipos de desarrollo participaran en la evaluación y remediación de riesgos de forma proactiva. La seguridad debe ser incorporada, no atornillada a nuestros productos
Pasar de procesos de seguridad descentralizados a integrados "Datavant es una empresa de alta autonomía, pero nuestro enfoque descentralizado significó que nuestra cadena de herramientas del ciclo de vida del desarrollo de software (SDLC) estaba por todas partes", dice Nick Waringa, Jefe de Producto e Infraestructura Segura de Datavant. Los equipos se basaron en 7 herramientas de seguridad comerciales y de código abierto independientes, que proporcionaban diferentes capacidades y puntos de vista.
"Nuestros equipos utilizaban procesos de escaneo y corrección inconsistentes, lo que significaba que los riesgos tenían la posibilidad de no abordarse. Los equipos de desarrollo también dedicaban tiempo a recopilar información para informar a los líderes de que podrían haberse centrado en la remediación de riesgos", afirma Jonathan Pautz, director sénior de ingeniería de seguridad en la nube de Datavant.
Los líderes del equipo de Infraestructura y Productos Seguros vieron la oportunidad de modernizar la estrategia de seguridad de nuestra empresa: crear una visibilidad holística en sus seis empresas y cambiar a la izquierda para capacitar a los desarrolladores para que identifiquen, prioricen y aborden los riesgos en una fase más temprana del proceso de desarrollo. El equipo de seguridad de Datavant evaluó cuatro plataformas en profundidad y seleccionó a Wiz debido a las continuas innovaciones de capacidad de Wiz y la profunda familiaridad del equipo con la plataforma. "La redondez de la plataforma hizo que fuera una elección fácil. Wiz fue la primera herramienta implementada en toda la empresa en nuestras seis empresas hermanas. Esto incluye todas las herramientas asumidas, como recursos humanos, finanzas, chat e identidad", dice Waringa.
Datavant se adoptó rápidamente Wiz CNAPP funcionalidades, empezando por Wiz CSPM y Wiz DSPM, que implementó en sus entornos de AWS y Azure para identificar fácilmente la información personal de atención médica y detectar y remediar errores de configuración. Luego, la empresa aprovechó el proveedor de Terraform de Wiz para agregar verificaciones a las tuberías de Terraform e implementó Escaneo de IaC para ejecutar tareas y detectar secretos, vulnerabilidades y errores de configuración en planes de Terraform y clústeres de Kubernetes. Datavant aprovecha tanto el proveedor de Terraform que Terraform toda la instancia de Wiz (usuarios, proyectos y reglas).
La empresa también comenzó a utilizar Controladores de admisión de Wiz Kubernetes y Sensor de tiempo de ejecución Wiz para permitir la detección y respuesta en tiempo real de vulnerabilidades en más de 1.700 Kubernetes, contenedores y otras cargas de trabajo en la nube, y el Conector Wiz VMware para examinar y corregir sus máquinas virtuales. "Nuestros desarrolladores ahora tienen una visibilidad completa de estos entornos, ven los riesgos dentro del contexto y toman medidas proactivas para reducirlos", dice Pautz. El equipo implementó comprobaciones de contenedores con la CLI de Wiz durante el proceso de promoción del código. "Actualmente envolvemos la CLI de Wiz en Golang para proporcionar un enfoque de relaciones públicas personalizado que proporciona datos enriquecidos de la CLI de Wiz dirigidos a nuestro personal de desarrollo", dice Pautz.
Los equipos de seguridad y desarrollo ahora usan Escaneo de Wiz Secret para ejecutar análisis automatizados en repositorios de código, canalizaciones de ejecución, archivos de configuración, confirmaciones y otros orígenes de datos para evitar posibles amenazas de seguridad planteadas por los secretos expuestos. Para optimizar los flujos de trabajo de desarrollo, el equipo de seguridad etiqueta los activos y proyectos con nombres de pods/equipos en los proveedores de la nube con Terraform. Estas etiquetas de identificación se terraforman en Wiz, por lo que es fácil para los desarrolladores encontrar proyectos asociados con su pod/equipo. Además, el equipo de seguridad escribió una regla personalizada que notificaba a los equipos los contenedores de infraestructura que no se adhieren a las políticas de etiquetado, lo que garantiza que los paneles de control del proyecto Wiz reflejen con precisión la carga de vulnerabilidades en los pods/equipos descentralizados.
"Al centralizar la visibilidad, automatizar los escaneos y habilitar el etiquetado, Wiz ha facilitado a nuestros equipos multifuncionales la identificación y priorización de riesgos", dice Waringa. "También hemos utilizado reglas para hacer cumplir las mejores prácticas de seguridad, incluidos los contenedores mal configurados".
Hemos usado Wiz en otras dos compañías. Lo que nos hizo elegirlo de nuevo son todas las elecciones tecnológicas que Wiz sigue haciendo y la velocidad a la que implementan nuevas funciones. Las decisiones que toman en el backend realmente mejoran la protección del medio ambiente en el frontend.
Abordar de forma proactiva las vulnerabilidades para reducir los riesgos y los costes Con visibilidad en la infraestructura de seis empresas y procesos de riesgo automatizados, Datavant ahora tiene la capacidad de mover la corrección de riesgos en una etapa más temprana del ciclo de vida del desarrollo. "Al trabajar juntos, nuestros equipos de seguridad y desarrollo han reducido los recuentos de vulnerabilidades de contenedores en un 51%", dice Pautz. Esto permite a los equipos centrarse en la mejora continua, centrándose en los riesgos medios y bajos y mejorando la postura de riesgo de la empresa. En la actualidad, Datavant evita que todas las vulnerabilidades críticas y altas netas nuevas fuera del SLA se introduzcan en su entorno de ejecución.
"Al bloquear las vulnerabilidades a medida que ocurren, los desarrolladores pueden solucionar los problemas cuando son más fáciles y baratos de solucionar, antes de que su código se ejecute en producción y tenga ganchos, integraciones u otros problemas que podrían requerir una colaboración de varios equipos para abordarlos", dice Waringa.
Poder ver y comprender toda nuestra infraestructura y cómo funciona ha hecho que nuestros equipos de seguridad y desarrollo sean más eficientes. Usamos Wiz como Google: si necesitamos saber qué está pasando en nuestro entorno, simplemente lo abrimos y usamos el Wiz Security Graph para consultar esos recursos.
Asociarse para mejorar las capacidades de seguridad para el mercado Datavant mantiene una estrecha relación con Wiz, proponiendo nuevas funcionalidades y probando nuevas características en versión beta. La compañía implementó controladores de admisión la primera semana en que se lanzaron e hizo una implementación de un día de su inquilino federal aprovechando su estrategia de "Terraform a la herramienta" poco después de que Wiz lo lograra Autorización moderada de FedRAMP®.
"Como cliente, no se puede pedir nada más que poder hablar con un socio que comparta nuestra perspectiva sobre cómo será el futuro de la seguridad, que entienda el caso de negocio que estamos tratando de lograr y que pueda mover montañas entre bastidores", afirma Waringa. "Nunca he visto un equipo de producto receptivo que escuche tan bien como lo hace el equipo de Wiz".