Wiz Security Trust Center

Sicurezza con un tocco di magia

• 

  Autenticazione e autorizzazione avanzate

  Wiz impone l'uso di una piattaforma Single Sign On (SSO) e di un'autenticazione a più fattori (MFA) FIDO2 resistente al phishing per l'accesso dei dipendenti ai sistemi Wiz. Wiz utilizza ruoli IAM e token di breve durata per l'accesso agli ambienti cloud. L'accesso agli ambienti di sviluppo e produzione è ulteriormente limitato attraverso l'uso di un processo di amministrazione Just in Time per ridurre al minimo i privilegi permanenti, i controlli della postura dei dispositivi e l'uso di una soluzione di accesso alla rete zero-trust.

• 

  Architettura di sicurezza del cloud

  L'ambiente di produzione Wiz viene eseguito come infrastruttura immutabile ed è gestito rigorosamente tramite infrastructure-as-code. I meccanismi automatizzati integrati nel processo SDLC e nella pipeline CI/CD di Wiz assicurano che le modifiche alla configurazione siano rigorosamente controllate, sottoposte a controlli di sicurezza e soggette a verifica e approvazione. Le modifiche non autorizzate alla produzione vengono rilevate automaticamente e inoltrate ai team di sicurezza e operativi. Wiz utilizza meccanismi di sicurezza di rete nativi del cloud, in combinazione con i suoi controlli di autenticazione e autorizzazione, per limitare l'accesso remoto all'infrastruttura cloud, applicare un perimetro sicuro e segregare gli ambienti interni.

• 

  Wiz4Wiz

  Wiz utilizza un'implementazione interna del proprio prodotto ("Wiz4Wiz") per monitorare e proteggere continuamente i propri ambienti cloud. I team di sicurezza e di progettazione collaborano sulla piattaforma Wiz per identificare, assegnare priorità e correggere le vulnerabilità, applicare e convalidare i controlli preventivi e rilevare e rispondere a potenziali minacce. Wiz applica le linee guida del settore, nonché quelle dei team di ricerca interni di Wiz, per rafforzare e valutare i suoi ambienti cloud in modo continuativo.

• 

  Ciclo di vita dello sviluppo sicuro

  Wiz garantisce la sicurezza e l'integrità della sua infrastruttura e del codice del prodotto in tutto l'SDLC. Questi meccanismi includono la scansione automatizzata dei segreti, i test di sicurezza statici e dinamici, la scansione delle vulnerabilità delle immagini dei container tramite WizCLI, la revisione paritaria obbligatoria per le modifiche al codice e le funzionalità di sicurezza aggiuntive all'interno del controllo del codice sorgente e delle piattaforme CI/CD di Wiz. Il team di sicurezza di Wiz collabora con l'ingegneria per eseguire la modellazione delle minacce, le revisioni della progettazione della sicurezza e le revisioni dell'implementazione della sicurezza delle funzionalità dei prodotti emergenti e delle modifiche all'infrastruttura di sviluppo e produzione.

• 

  Consapevolezza della sicurezza

  I programmi per la promozione della consapevolezza di Wiz includono una formazione periodica incentrata sulla sicurezza delle informazioni e sulla privacy dei dati, una guida continua sulle minacce emergenti e linee guida e procedure specifiche del team per garantire che i dipendenti possano adottare pratiche sicure nel loro lavoro quotidiano. Promuovendo una cultura di consapevolezza della sicurezza, Wiz può ridurre significativamente il rischio di errori umani che portano a violazioni dei dati o incidenti legati alla sicurezza. Questo approccio proattivo non solo protegge i dati dei clienti, ma migliora anche la reputazione di Wiz, rafforza la fiducia dei clienti e garantisce la conformità normativa, contribuendo in ultima analisi al suo successo a lungo termine.

• 

  Registrazione, rilevamento e risposta

  Wiz utilizza un sistema di gestione delle informazioni e degli eventi sulla sicurezza che acquisisce i dati della telemetria di sicurezza dagli ambienti cloud aziendali, di sviluppo e di produzione. I dati in ingresso vengono elaborati tramite una pipeline di rilevamento e conservati in un data lake di sicurezza. I rilevamenti e gli avvisi vengono indirizzati agli ingegneri reperibili tramite sistemi di ticket, messaggistica e cercapersone. Il team di sicurezza di Wiz opera a livello globale per valutare, indagare e correggere rapidamente gli eventi.

• 

  Sicurezza degli endpoint

  Le workstation Wiz eseguono un software di rilevamento e risposta degli endpoint che fornisce funzionalità di prevenzione, rilevamento, registrazione delle attività, contenimento e investigazione di malware e attacchi. Wiz implementa inoltre il software di prevenzione della perdita di dati per proteggere e gestire il flusso di informazioni sensibili all'interno dei sistemi Wiz. L'applicazione di patch e la gestione della configurazione di sicurezza vengono gestite tramite le soluzioni Mobile Device Management e Mobile Application Management.

• 

  Gestione del rischio

  Il processo di gestione del rischio di Wiz è integrato con le funzioni aziendali e tecniche in tutta l'azienda, aiutando i team a identificare le opportunità per migliorare la sicurezza e la privacy e per mitigare le minacce. Ciò consente a Wiz di proteggere le risorse critiche e di rispettare gli impegni con i clienti, normativi e legali. Un'efficace gestione del rischio consente inoltre a Wiz di adattarsi ed evolversi nel panorama in continua evoluzione delle minacce informatiche, garantendo un successo a lungo termine nella fornitura di solide soluzioni di sicurezza.

• 

  Gestione del rischio dei fornitori

  Garantire la sicurezza e l'affidabilità dei prodotti e dei servizi dei fornitori è fondamentale per mantenere l'integrità delle offerte di Wiz e proteggere i dati dei clienti. Un solido programma di gestione del rischio dei fornitori aiuta a mitigare potenziali violazioni, garantisce la conformità normativa e preserva la fiducia dei clienti, rendendolo una componente essenziale della strategia di sicurezza complessiva di Wiz.

• 

  Audit e conformità

  Wiz adotta un programma completo di audit e conformità per rispettare gli standard del settore, i requisiti normativi e le leggi sulla protezione dei dati in tutto il mondo. Tali programmi garantiscono che le operazioni di Wiz soddisfino o superino le linee guida e le migliori pratiche stabilite e aiutino a identificare e correggere potenziali vulnerabilità. Wiz si occupa della supervisione di terze parti dei suoi programmi di sicurezza e privacy a livello di organizzazione, nonché di valutazioni tecniche ricorrenti, come i test di penetrazione e il red teaming, dei suoi prodotti e infrastrutture.

• 

  Crittografia e gestione delle chiavi

  Wiz utilizza soluzioni per le chiavi cloud-native, come AWS KMS, per la loro archiviazione e gestione sicure. I controlli automatizzati assicurano che le chiavi non vengano memorizzate o trasferite tramite metodi non sicuri o non approvati.