Sfida
Dopo aver riunito due aziende, il team di sicurezza di Vistra ha cercato di migliorare la visibilità nell'ambiente multi-cloud/multi-architettura di Vistra reinventato.
La sicurezza voleva anche migliorare la governance e la posizione di rischio del suo ambiente cloud espanso.
Con più soluzioni specifiche, il team di sicurezza ha cercato di migliorare e consolidare il proprio toolkit.
Soluzione
Vistra può vedere come tutte le risorse sono collegate, utilizzando Wiz per consentire ai team interfunzionali di collaborare all'integrazione e alla protezione di nuove business unit' ambienti cloud post-fusione.
Vistra ora identifica i rischi ad alta priorità e la posizione di rischio degli asset chiave utilizzando Wiz per dare priorità ai problemi di correzione e rafforzare la governance.
Vistra ha ridotto la necessità di soluzioni di sicurezza a più punti con il supporto di Wiz per ambienti ibridi e processi senza agenti, semplificando i processi di sicurezza e riducendo la spesa complessiva.
Complete visibility
across the multi-cloud environment
Proactively reduces risks
and ensures compliance across all businesses and new products
Deployed a full-featured cloud security platform
reducing the need for multiple point solutions
Miglioramento della governance in un ambiente multi-cloud in crescita
Vistra è un fornitore leader di servizi aziendali essenziali, come le risorse umane, le imposte, la gestione delle persone giuridiche e la conformità normativa, che aiutano le aziende e i fondi di capitale privato a crescere nell'intero ciclo di vita dell'attività e degli investimenti. Creata dalla combinazione di Tricor Group e Vistra, la nuova Vistra ha registrato una rapida crescita aziendale e supervisiona un ampio ambiente multi-cloud/multi-architettura.
Di conseguenza, il team di sicurezza e le altre parti interessate chiave avevano bisogno di una visibilità olistica sulla loro impronta cloud globale, con la capacità di applicare e far rispettare la governance in modo coerente e rapido.
Vogliamo consolidare ciò che abbiamo e riunire i migliori strumenti, pratiche e integrazioni per il nostro team di sicurezza. Ad esempio, se rileviamo un rischio o un incidente in una piattaforma, dovremmo essere in grado di rispondere in un'altra. Tutto dovrebbe funzionare insieme in modo fluido e senza attriti.
Spostamento a sinistra per sviluppare prodotti che siano sicuri fin dalla progettazione
Vistra voleva raggiungere obiettivi sia a breve che a lungo termine con sicurezza. Nel breve termine, l'azienda ha visto l'opportunità di razionalizzare gli strumenti di sicurezza. Consolidando le soluzioni best-of-breed, il team di sicurezza otterrebbe una visibilità olistica, garantirebbe la coerenza della governance con un unico set di policy e sarebbe in grado di identificare i rischi e dare priorità alle correzioni.
"Inizialmente, utilizzavamo funzionalità CDR cloud-native all'interno di diverse piattaforme, ma questo significava creare più policy, regole e meccanismi di monitoraggio nel nostro ambiente in un momento in cui volevamo centralizzare e consolidare le funzionalità", afferma Him Tang, Cyber Security Manager di Vistra.
Semplificare la collaborazione per consentire il miglioramento continuo
Vistra ha esaminato diversi fornitori, scegliendo Wiz per la sua ampiezza di servizi, usabilità e costi. Con l'implementazione di Wiz, Vistra ha ottenuto la visibilità e la governance olistiche nell'infrastruttura cloud che il team di sicurezza cercava. Il team adottò rapidamente Wiz CNAPP funzionalità, tra cui Wiz DSPMe Scansione IaC per rilevare tempestivamente i rischi per la sicurezza.
Per identificare i percorsi di attacco critici, il team di sicurezza utilizza Wiz per scansionare ogni risorsa e tecnologia nel proprio ambiente cloud attraverso macchine virtuali, container e funzioni serverless. Tutti i team Vistra ora accedono a Wiz per ottenere la stessa visione delle risorse cloud, con rischi, contesto e correlazioni integrati, mentre l'IT e la sicurezza semplificano i processi di gestione dell'inventario cloud.
Il team di sicurezza utilizza queste informazioni e i flussi di lavoro automatizzati per assegnare priorità e correggere i rischi, come le esposizioni a PII o PCI. Allo stesso modo, gli sviluppatori ottengono informazioni utili sui rischi ad alta priorità da affrontare durante il ciclo di sviluppo del prodotto senza rumore o la necessità di creare manualmente contesto e correlazioni.
"Prima, potevamo impostare le policy all'interno dei nostri account AWS e Azure, ma non riuscivamo a vedere le incongruenze e altri rischi. Con Wiz, abbiamo la visibilità e le informazioni per rivedere le configurazioni e le policy in modo proattivo in tutti i nostri tenant, consentendo a Vistra di creare una cultura del miglioramento continuo", afferma Tang.
Mentre Vistra continua il suo percorso verso la svolta a sinistra, creando una vera e propria funzionalità DevSecOps fornendo agli sviluppatori le informazioni di cui hanno bisogno per identificare e affrontare i rischi durante l'intero ciclo di vita dello sviluppo del prodotto, piuttosto che dover apportare correzioni in seguito.
"DevSecOps sta ancora maturando per la nostra azienda. Di conseguenza, stiamo analizzando nuove applicazioni per garantire che i team di sviluppo affrontino i rischi critici prima di lanciare nuovi prodotti", afferma Tang.
Mentre passiamo a un modello Infrastructure as Code, Wiz ci aiuta a spostarci a sinistra e a scansionare il codice per identificare e correggere i rischi nelle prime fasi del ciclo di vita dello sviluppo del prodotto. Il potenziamento di queste funzionalità ci aiuta a garantire ai proprietari delle aziende che le applicazioni sono sicure fin dalla progettazione.
I team di sviluppo, infrastruttura e sicurezza utilizzano Wiz Projects e i controlli degli accessi basati sui ruoli per consentire la collaborazione per i collaboratori interni ed esterni in Wiz. Il team congiunto utilizza una zona di destinazione cloud e il controllo di conformità Wiz per integrare le nuove business unit in modo rapido e sicuro. Con questa funzionalità, Vistra valuta e mantiene automaticamente la conformità normativa con un punteggio di postura del rischio, framework integrati e reportistica.
Fornendo ai team interfunzionali maggiore visibilità, identificazione dei rischi e capacità di correzione, Vistra ha notevolmente migliorato la sua posizione di sicurezza nel cloud, migliorando al contempo l'efficienza operativa.
Wiz fornisce un unico pannello di controllo per la sicurezza del cloud in Vistra. Abbiamo acquisito la visibilità, gli strumenti di collaborazione e le capacità di reporting di cui abbiamo bisogno per accelerare l'integrazione delle nostre due aziende e consentire uno sviluppo sicuro dei prodotti.
Funzionalità di sicurezza in rapida evoluzione per supportare la crescita futura
Vistra ha gettato le basi per la sicurezza per consentire una crescita rapida e continua utilizzando Wiz. I team interfunzionali possono integrare in modo rapido e sicuro nuovi sistemi, progettare prodotti sicuri e semplificare la collaborazione. I team hanno una visibilità completa della loro infrastruttura multi-cloud, con rischi e correlazioni contestualizzati, consentendo loro di impostare strategie di sicurezza, evolvere le capacità di gestione dei rischi e affrontare in modo proattivo le vulnerabilità.
Successivamente, Vistra prevede di esplorare Wiz CDR per migliorare le capacità di rilevamento, indagine e risposta alle minacce. Wiz CDR combina il suo approccio agentless basato su grafici con i registri delle attività cloud, consentendo ai team di identificare le minacce in modo proattivo, simulare le viste degli aggressori, limitare i danni ed eseguire analisi forensi su larga scala durante una minaccia in corso.
