Défi:Augmenter la visibilité sur la sécurité de ses environnements cloud sans avoir à rassembler les données dans plusieurs solutions et tableaux de bord.
Faire évoluer le programme de sécurité pour détecter les vulnérabilités et les combinaisons toxiques de risques dans son environnement cloud.
Établir une base de sécurité solide pour continuer à renforcer la confiance des clients dans l’entreprise.
SolutionWiz fournit un écran unique pour visualiser et comprendre l’infrastructure cloud d’Atlan, ce qui permet aux ingénieurs d’identifier et de hiérarchiser facilement les problèmes à résoudre.
La start-up peut analyser son environnement AWS avec Wiz, ce qui permet aux ingénieurs d’identifier et de corriger rapidement et efficacement les risques dans l’ensemble de l’environnement.
Wiz aide Atlan à garantir et à maintenir les exigences de conformité, et facilite la transition vers une approche de sécurité basée sur les risques.
Sécuriser une start-up en pleine croissanceEn se fixant pour objectif de devenir une icône de bureau universelle pour accéder aux données et un centre unique de collaboration pour les équipes chargées des données, Atlan ne manque pas d'ambition. La start-up se décrit comme une plateforme active de métadonnées dont la mission est d'aider les utilisateurs à travailler avec des données dans des domaines aussi divers que la recherche sur le cancer et le développement de véhicules électroniques.
Pour conquérir et fidéliser les entreprises, Atlan doit assurer la sécurité de sa plateforme et de ses données, et cette responsabilité incombe à Kashfun Nazir, le premier ingénieur en sécurité à rejoindre l’organisation et qui est maintenant responsable de la sécurité de l’information & responsable de la protection des données. Nazir est chargé d’élaborer une feuille de route de sécurité et de mettre en œuvre de l’architecture de sécurité d’Atlan. « Notre stratégie est d’abord défensive et consiste à construire les fondamentaux de la sécurité, soutenus par un cadre de gouvernance approprié, explique-t-il. Cela nous permet de nous conformer aux audits nécessaires pour renforcer la confiance de nos clients dans notre sécurité et notre modèle d'affaires. »
Pour gérer les coûts tout en évoluant pour soutenir la croissance, Atlan a choisi d’exécuter ses workloads dans des conteneurs Kubernetes sur Amazon Web Services (AWS) comme tremplin vers une architecture multi-cloud. Cependant, les produits de sécurité AWS natifs et AWS Security Hub n'offraient pas la facilité d’utilisation et la visibilité requises par l’équipe de sécurité restreinte de la startup. Les ingénieurs devaient se connecter à des tableaux de bord distincts pour afficher les alertes et les données, ce qui rendait la corrélation des informations complexe et chronophage. Nazir voulait un tableau de bord unifié qui offre une interface unique pour visualiser l’environnement cloud d’Atlan et identifier facilement les problèmes. Selon Nazir, cela permet d’éviter les « combinaisons toxiques », lorsque plusieurs problèmes de sécurité sont combinés et présentent un risque considérable pour l’entreprise.
La vulnérabilité Log4j oblige à rechercher un outil externeL'apparition d'une faille critique dans Log4j a affolé les équipes de sécurité du monde entier. Devant le manque de visibilité immédiate des tableaux de bord AWS existants, Nazir s'est mis en quête d'une solution alternative capable d'identifier et de cartographier les vulnérabilités telles que Log4j afin d'y remédier rapidement.
La plateforme évolutive et sans agent de Wiz a retenu l'attention de Nazir, et lorsque Wiz a produit des résultats inattendus lors de la validation initiale du concept, lui et son équipe ont été convaincus. « C’était l’un des facteurs gagnants pour Wiz : nous pensions avoir résolu tous les problèmes de Log4j dans notre environnement, en fonction de ce qui était visible pour nous, explique Nazir. Avec Wiz, nous avons constaté que ce n’était pas le cas. »
C’était l’un des facteurs gagnants pour Wiz : nous pensions avoir résolu tous les problèmes de Log4j dans notre environnement, en fonction de ce qui était visible pour nous. Avec Wiz, nous avons constaté que ce n’était pas le cas.
Déploiement efficace en une heureLe déploiement de Wiz s’est avéré remarquablement efficace : Atlan a pu connecter Wiz à ses comptes cloud AWS en quelques minutes et terminer l’exercice total en une heure. « L’équipe de Wiz a travaillé en étroite collaboration avec notre équipe informatique pour mener à bien le projet, explique Nazir. Le fait que le produit soit sans agent a été une agréable surprise et a facilité le déploiement – dans l’ensemble, ce processus a été plus rapide que le déploiement de tous les autres produits et outils technologiques que nous utilisons. » L’ajout de Wiz n’a pas non plus eu d’impact sur les opérations commerciales, les ressources ou les performances des workloads d’Atlan.
Le fait que le produit soit sans agent a été une agréable surprise et a facilité le déploiement
Le Security graph offre les plus grands avantages au quotidienPour Atlan, la fonctionnalité la plus utile de Wiz est le Security graph, qui fournit une visualisation détaillée des composants impliqués dans tout risque lié au cloud, ainsi que des relations entre eux. « Le Wiz Security Graph fournit une carte des conteneurs affectés et nous permet également d’aller plus loin pour obtenir plus de détails sur cette vulnérabilité, explique Nazir. Et les graphiques eux-mêmes sont dynamiques, ce qui nous permet de générer des visuels à partir de nos propres requêtes. » En identifiant les combinaisons toxiques et les risques critiques dans l’environnement Atlan à la vitesse du cloud, Wiz permet à l’entreprise de contrôler les coûts, d’optimiser l’utilisation des ressources et de hiérarchiser les mesures correctives. Atlan estime que les économies réalisées grâce à l’automatisation via Wiz équivalent au coût de trois membres de l’équipe à temps plein.
Parallèlement, grâce à une documentation Wiz claire et simple et des webinaires sur les produits disponibles sur le Web, Nazir peut simplement demander aux nouveaux ingénieurs de les étudier afin d’accélérer considérablement leur processus d’apprentissage et d’intégration.
Wiz a également aidé l’entreprise à faire face à une prolifération d’attaques zero-day et Nazir souligne la rapidité avec laquelle le produit est mis à jour avec des détails sur les dernières menaces et vulnérabilités. Cela permet à Atlan d’établir une relation de confiance avec les clients et les prospects.
Au fur et à mesure que nous grandissons et que nous gagnons des clients, nous pouvons leur dire en toute confiance que nous connaissons toutes les vulnérabilités connues, et que nous serons rapidement en mesure de détecter les nouvelles vulnérabilités.
Adopter une posture de sécurité proactiveLa conformité aux cadres CIS, ainsi qu’aux normes SOC 2 et HIPAA est essentielle à la stratégie d’Atlan pour gagner de nouveaux clients, et Wiz joue un rôle clé pour garantir que l’entreprise obtient les certifications et les normes requises. « Nous utilisons la fonction de conformité Wiz pour vérifier si les frameworks sont appropriés. Cela nous a permis de confirmer notre statut en détectant certains problèmes périphériques qui nous avaient échappé auparavant », précise Nazir.
Wiz analyse en permanence les configurations et recherche les vulnérabilités dans l’environnement cloud d’Atlan pour détecter les problèmes qui présentent des risques. Alors que l’entreprise de données continue de faire évoluer sa posture de sécurité, elle se tournera vers Wiz pour assurer la sécurité de sa plateforme.
Atlan prévoit de faire évoluer son utilisation de Wiz de la gestion des vulnérabilités et du suivi et de l’identification des problèmes, à la réduction plus large des risques. L’entreprise a également l’intention d’utiliser la plate-forme pour se déplacer vers la gauche et appliquer une politique de sécurité unifiée dans son pipeline CI/CD dans les mois à venir, ainsi que d’intégrer Wiz à un outil SIEM pour offrir une visibilité et une capacité d’alerte accrues.
« Wiz est extrêmement facile à utiliser et offre une expérience agréable par rapport aux autres outils que j’ai utilisés, conclut Nazir. En un mot, Wiz est la solution idéale, non seulement pour les professionnels de la sécurité, mais aussi pour tous les ingénieurs ou utilisateurs qui n’ont pas nécessairement les compétences ou les connaissances nécessaires pour approfondir les aspects techniques de votre environnement. »