Sfida
L'ampia suite di prodotti Zendesk richiede un'ampia presenza nel cloud per essere mantenuta e l'azienda ha faticato a mantenere la visibilità nell'intero ambiente multi-cloud.
I team di sviluppo avevano la libertà di creare e scalare rapidamente, ma non avevano informazioni dettagliate sull'importanza o sulla posizione delle vulnerabilità quando venivano segnalate dalla sicurezza.
Gli strumenti di sicurezza disconnessi richiedevano specialisti dedicati per la manutenzione e il monitoraggio, il che sottraeva tempo e risorse a progetti di maggior valore.
Soluzione
Zendesk ha ottenuto una visibilità completa dell'ambiente cloud e una sicurezza centralizzata tra i team di sviluppo e sicurezza cloud
Sfruttando le raccomandazioni e gli approfondimenti prioritari di Wiz, i team di sviluppo di Zendesk sono ora in grado di gestire le proprie risorse specifiche dal punto di vista della sicurezza e di concentrare la propria attenzione sulle vulnerabilità critiche.
Zendesk protegge in modo proattivo le immagini dei container e le configurazioni IaC in fase di sviluppo, in modo che gli ingegneri possano dedicare tempo alla creazione di nuovi prodotti e funzionalità.
Consolidated visibility
across a complex environment into a single pane of glass
Eliminated 96%
of critical vulnerabilities
Improved collaboration
across security and development teams with 1,200+ Wiz users
Diventare leader del settore multinazionale
I co-fondatori di Zendesk Morten Primdahl, Alexander Aghassipour e Mikkel Svane, hanno costruito la prima versione della soluzione digitale di assistenza e servizio clienti in un piccolo appartamento a Copenaghen nel 2007. Nei primi mesi di vita, aveva quasi 1.000 clienti di prova, nel 2009 è stata finanziata e oggi è un'organizzazione multimiliardaria con oltre 6.000 dipendenti in tutto il mondo. La sua suite di prodotti comprende un'ampia gamma di soluzioni di assistenza e vendita, ognuna con i propri strumenti dedicati.
Per supportare questo ecosistema e offrire ai propri clienti la possibilità di fornire esperienze straordinarie, l'azienda richiede un ambiente cloud in continua crescita. Ciò include diversi importanti fornitori di cloud, storage containerizzato, cluster Kubernetes e più di 10k macchine virtuali (VM) che alimentano 800+ servizi in tutta la piattaforma. Con un ambiente così complesso, l'azienda ha faticato a mantenere la visibilità in ogni angolo e i suoi strumenti di sicurezza hanno richiesto il supporto di specialisti che non potevano dedicare il loro tempo alla progettazione di nuove soluzioni. Zendesk sapeva di dover semplificare e automatizzare la sicurezza insieme alla sua infrastruttura cloud.
Oltre a queste sfide tecniche, Zendesk voleva incoraggiare una maggiore collaborazione tra i team di progettazione e sviluppo. Con 30 ingegneri della sicurezza dei prodotti e quasi 2.000 ingegneri del software, era difficile per il suo piccolo team di sicurezza gestire tutto da solo. "In un ambiente così grande, nessuno può sapere tutto", afferma Andrew Wagner, Director of Engineering di Zendesk. "Per affrontare i problemi in modo efficace, la sicurezza e gli sviluppatori devono collaborare. Il mio team doveva essere in grado di portare un problema alla sicurezza e chiedere la loro opinione, non solo aspettare indicazioni". In questo passaggio a una strategia di sicurezza più proattiva, la visione di Zendesk è stata messa alla prova quando ha dovuto scoprire rapidamente le vulnerabilità relative a Log4Shell.
In passato eravamo un'organizzazione di sicurezza molto reattiva, ma oggi il nostro obiettivo è quello di creare prodotti secure-by-design per mantenere e migliorare in modo incrementale tali standard. Wiz ci fornisce informazioni su dove si trovano i rischi, in modo da poter correggere le configurazioni errate e ridurre la possibilità che si ripetano
L'azienda stava valutando nuove soluzioni di sicurezza quando è venuta a conoscenza di Log4Shell, ma senza un modo per vedere facilmente l'intero ambiente cloud, era impossibile trovare potenziali esposizioni in modo efficiente. "Con Wiz, potevamo vedere tutto nel nostro ambiente e dove stavamo eseguendo Log4Shell", afferma Koen Hendrix, Director of Product Security, Zendesk. "La nostra fiducia nel nostro inventario e nella copertura cloud è passata forse dal 60% al 100%. Potevamo vedere tutte le nostre lacune e siamo stati in grado di iniziare a colmarle durante la notte. Sapevamo come spostare l'ago della bilancia sulla nostra posizione di sicurezza e questo ha reso Wiz una scelta facile".
Scoprire i punti ciechi per espandere la copertura di sicurezza
Una volta che Zendesk ha deciso di implementare Wiz, è stato in grado di implementarlo in modo rapido e semplice perché il team di sicurezza non ha dovuto installare agenti nel cloud. "Wiz ci ha dato la possibilità di implementare e rivedere rapidamente la nostra impronta", afferma Wagner. "Siamo stati in grado di scoprire i punti ciechi nei dati delle nostre VM e in tutti i nostri ambienti senza dover mettere insieme una soluzione da fonti disparate".
Grazie alla visibilità e agli strumenti consolidati in un unico pannello di controllo, Zendesk può essere pienamente consapevole dei rischi e orientarsi verso un approccio più proattivo alla sicurezza del cloud. "Abbiamo una maggiore consapevolezza della tecnologia utilizzata dai nostri ingegneri, siamo in grado di fornire aggiornamenti costanti sullo stato di conformità e abbiamo tutto in un'unica destinazione", afferma Hendrix. "Per questo motivo, possiamo individuare e affrontare i rischi più velocemente che mai e dedicare più tempo a progetti di maggior valore". Da quando ha implementato Wiz, l'azienda ha ridotto le vulnerabilità rispetto agli SLA del 95% e ha rimediato al 96% delle sue vulnerabilità critiche totali.
Quando è stato lanciato Log4Shell, stavamo testando Wiz e il team ha lavorato a stretto contatto con noi per aiutarci a esaminare l'intero cloud alla ricerca di vulnerabilità. Dopo aver visto il grafico della sicurezza, ho capito che era la soluzione giusta. Wiz è l'unico strumento del fornitore che personalmente ho fortemente sostenuto in Zendesk perché sapevo che avrebbe risolto il nostro problema.
Poiché Zendesk dispone di più contesto in un unico posto, i team di sicurezza e progettazione possono anche prendere decisioni più informate su come e dove dedicare del tempo e quali problemi sono più importanti da risolvere. I team possono facilmente fare riferimento a tag, metadati e alle raccomandazioni integrate di Wiz per avere una comprensione completa delle sfumature di problemi specifici. Ciò significa che gli ingegneri che possiedono risorse e progetti specifici possono mettere a disposizione le loro conoscenze e allinearsi con la sicurezza su come risolvere al meglio un problema. "Supponiamo che il nostro team di ingegneri abbia il tempo di svolgere 10 attività in una settimana. Prima, avremmo potuto semplicemente consegnare loro 50 problemi e non avrebbero saputo da dove cominciare", condivide Hendrix. "Ora possiamo condividere due o tre questioni specifiche e spiegare perché sono importanti".
Integrazione della sicurezza in ogni livello di ogni prodotto
Più della metà dell'organizzazione di progettazione Zendesk, composta da 2.000 persone, ora utilizza Wiz e, poiché sempre più membri si affidano a Wiz come fonte di verità, i team di sicurezza e di progettazione sono in grado di collaborare meglio utilizzando un linguaggio condiviso. "La mia squadra'L'obiettivo è quello di elevare il livello di sicurezza dello stack di prodotti Zendesk a ogni livello del prodotto", afferma Hendrix. "Ciò significa che dal momento in cui un ingegnere ha un'idea alla scrittura del codice e alla distribuzione in produzione, è sicuro. Dal momento che i nostri ingegneri ora utilizzano Wiz, possono anche tornare da noi con le loro scoperte, e questo ha avvicinato i nostri team".
Con Wiz CLI, il team ha implementato la scansione delle vulnerabilità per le immagini dei container e analizza e crea flag durante lo sviluppo locale. Zendesk fornisce agli ingegneri un leggero avviso in caso di configurazioni errate prima di procedere, in modo che possano regolare facilmente e continuare a creare. In questo modo si garantisce anche che le potenziali vulnerabilità vengano rilevate non appena entrano negli ambienti di staging e non mettano in pericolo la produzione. "Sappiamo che non possiamo impedire completamente alle persone di costruire un'immagine vulnerabile, ma se riusciamo a segnalare un problema, non dovremo preoccuparci di un nuovo SLA lungo la strada", afferma Wagner.
Wiz ci offre un linguaggio comune tra sicurezza e ingegneria. Esso'è uno strumento a cui tutti hanno accesso, è super intuitivo ed è facile da sfruttare perché il contesto di cui abbiamo bisogno per lavorare insieme e svolgere il nostro lavoro è tutto in un unico posto.
Questo approccio collaborativo al monitoraggio della sicurezza ha permesso a Zendesk di modificare gradualmente il proprio approccio alla sicurezza e al codice sicuro nelle prime fasi del processo di sviluppo. "Il nostro gruppo di sicurezza e i miei ingegneri possono ora essere co-proprietari e co-governare la sicurezza delle nostre soluzioni perché abbiamo uno strumento unificato", afferma Wagner.
Il team può anche monitorare e proteggere il proprio ambiente per migliorare la conformità con le partnership federali utilizzando Sensore di runtime Wiz. "Con Wiz Sensor, possiamo valutare continuamente i nostri framework di conformità e mostrare facilmente ai nostri partner che stiamo soddisfacendo i nostri requisiti FedRAMP, SOC II, PCI e altri perché possiamo vedere tutto in tempo reale", afferma Wagner. "Questo è inestimabile perché possiamo stare al passo con gli standard man mano che cambiano e mantenere queste preziose partnership".
Implementazione di nuove misure di sicurezza per un'infrastruttura cloud in crescita
Mentre Zendesk continua a evolvere il suo approccio alla sicurezza del cloud, sta valutando l'uso Wiz Difendere per migliorare la sicurezza del runtime e monitorare le vulnerabilità con un livello di segnale più elevato. "Avere visibilità in tempo reale sarà un punto di svolta perché possiamo ridurre il tempo necessario per rilevare, indagare e contenere gli attacchi cloud", afferma Hendrix.
Il team vede anche Wiz come un elemento chiave della sua strategia continua per spostarsi più a sinistra. "Vogliamo essere in grado di eseguire la scansione sempre prima alla ricerca di configurazioni errate e problemi di tag all'inizio del nostro processo", aggiunge Hendrix. "Wiz è una parte fondamentale della maturazione del nostro approccio alla sicurezza".
