Wiz Defend est là : détection et réponse aux menaces pour le cloud

Comment ASOS a utilisé la numérisation sans agent pour s’attaquer à Log4j en quelques heures

Lorsque Log4j est apparu, la solution sans agent de Wiz a aidé l’équipe de sécurité d’ASOS à identifier où se trouvaient les instances Log4j dans son environnement et à résoudre rapidement les problèmes.

ASOS

Industrie

Particulier

Région

Monde

Plateformes cloud

Azure
Prêt à commencer ?
Demander une démo

Défi

  • Alors qu’ils atteignaient les dernières étapes de leur parcours vers le cloud natif, ASOS avait besoin d’un partenaire de sécurité capable d’évoluer et d’être aussi cloud natif qu’eux.

  • Lorsque Log4j est arrivé, ASOS avait besoin d’un moyen propre d’identifier immédiatement où se trouvaient les instances de Log4j.

  • ASOS avait besoin de la visibilité, du contexte et de l’automatisation nécessaires pour hiérarchiser et corriger Log4j.

Solution

  • La solution sans agent de Wiz a permis à ASOS d’obtenir une couverture complète de son environnement et d’identifier toutes ses instances de Log4j en quelques heures.

  • Wiz a donné à ASOS les bases nécessaires pour automatiser ses efforts de surveillance de la conformité et de renforcement de la sécurité alors qu’ils poursuivent leur parcours vers une version entièrement cloud-native.

  • ASOS a trouvé un partenaire de sécurité qui fonctionne à l’échelle dont il avait besoin pour créer une source de vérité pour la sécurité du cloud.

Le parcours d’ASOS en matière de sécurité en tant que détaillant axé sur le cloud

ASOS, dont le siège se trouve au Royaume-Uni, est un lieu incontournable pour les jeunes de 20 ans passionnés de mode du monde entier. En tant qu'entreprise numérique, elle investit massivement dans le cloud, et est sur le point de devenir totalement cloud native. Il s’agit principalement d’utilisateurs d’Azure et, comme de nombreuses organisations, leur équipe de sécurité prend en charge une organisation d’ingénierie beaucoup plus importante. Pour suivre le rythme des équipes d’ingénierie et se concentrer sur le cloud, l’équipe de sécurité ne considère que les solutions cloud natives qui peuvent s’adapter aux besoins de leur entreprise.

L'équipe de sécurité d'ASOS, chargée de gérer un parc informatique en pleine expansion, s'efforce de trouver des solutions qui lui permettent d'évoluer et d'obtenir des informations plus riches sur ses environnements informatiques et sur les risques potentiels. Ils ont commencé leur parcours de sécurité dans le cloud avec des outils de sécurité cloud natifs, mais à mesure qu’ils ont mûri, ils ont voulu avoir une image plus complète du potentiel Menaces liées au cloud.

Stratégie de réponse et de remédiation à Log4j

L'importance de disposer d'une image complète de l'environnement d'ASOS et de ses menaces potentielles est apparue très clairement lorsque le problème Log4j est apparu. Le besoin immédiat était de comprendre exactement où se trouvait Log4j dans leur environnement. Avec le soutien de Wiz, l’équipe a développé une couverture complète de son environnement et une visibilité sur les endroits où elle disposait d’instances de Log4j en quelques heures. L’analyse sans agent de Wiz et ses analyses approfondies des workloads ont permis à ASOS d’identifier rapidement et précisément où se trouvait Log4j sur les images de VM, sans serveur, PaaS et IaaS.

L'absence d'agents dans Wiz était très importante pour nous. Comme notre infrastructure est en constante évolution, la solution sans agent de Wiz nous a permis d’obtenir une couverture à 100 % rapidement et à grande échelle.

ASOS a également tiré parti des capacités de Wiz pour prendre en charge l’accès aux bibliothèques tierces. Cela leur a permis d’avoir une visibilité supplémentaire sur leur pile afin de comprendre le rôle joué par chaque solution tierce dans leur environnement. Ainsi, ils ont pu hiérarchiser le risque potentiel que chacune représentait et savoir quelles solutions tierces étaient capables de gérer elles-mêmes Log4j.

Le contexte est essentiel pour pouvoir hiérarchiser les risques, et c'est un point auquel se heurtent de nombreux outils de sécurité. Le point de vue d’un fournisseur sur ce qui est critique n’est pas nécessairement le même que le nôtre. Wiz nous donne une vue contextuelle des risques potentiels dans notre environnement afin que nous puissions mieux les comprendre et les hiérarchiser en fonction de notre connaissance de ce qui est critique.

Après l'identification de leurs instances de Log4j, l’étape suivante consistait à hiérarchiser et à résoudre les problèmes. ASOS avait besoin d’une vue contextuelle de chaque instance Log4j dans l’environnement, afin de comprendre où se trouvait chaque instance et comment elle était liée au reste de l’environnement. Wiz aide ASOS à identifier ces informations et à formuler des recommandations pour son plan de remédiation. En conséquence, ils ont pu s’occuper rapidement et efficacement de Log4j dans leur environnement et le signaler à leur équipe de direction.

Log4j a vraiment prouvé la valeur de Wiz pour nous. Une fois que nous avons mis en œuvre Wiz, nous avons rapidement disposé d’un plan complet de remédiation que nous avons pu présenter à la direction.

Générer de la valeur au-delà de Log4j

ASOS découvre continuellement de nouvelles façons de tirer parti de Wiz. Wiz permet à ASOS d’avoir une vue d’ensemble de son parc cloud, tout en permettant à l’équipe d'examiner en détail des risques potentiels spécifiques. Cela crée une base solide pour hiérarchiser et corriger les vulnérabilités. Pour augmenter encore cette valeur, ASOS élabore des plans d'automatisation de son processus de renforcement de la sécurité à l'aide de Wiz. Ils créent un flux continu entre les opérations de sécurité pour le suivi des problèmes et l'Assurance sécurité pour l'identification et le regroupement des schémas répétés qu'ils peuvent décaler vers la gauche à l'équipe d'ingénierie pour qu'elle les corrige dans le pipeline de développement. Wiz donne la possibilité d’identifier ces modèles, de créer ces politiques et d’automatiser leur mise en œuvre sur l’ensemble du pipeline.

Wiz est une solution facile à utiliser et à mettre en œuvre, incroyablement puissante, et qui devient l'un des principaux outils de notre système. Le volume et les informations que nous obtenons de Wiz nous aident à aller de l'avant.

Grâce à sa valeur prouvée par Log4j, Wiz est devenue une plateforme incontournable pour ASOS. De l’automatisation au suivi de la conformité, ASOS se tourne de plus en plus souvent vers Wiz pour obtenir de l’aide. Pour une équipe de sécurité aux exigences strictes en matière d’évolutivité et d’approches cloud natives pour tous les outils qu’elle utilise, ASOS a trouvé en Wiz un véritable partenaire pour créer une source de vérité pour sa sécurité dans le cloud.

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

“La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud.”
David EstlickRSSI
“Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud.”
Adam FletcherChef du service de sécurité
“Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement.”
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités