도전
Grammarly는 B2B 엔터프라이즈 고객에게 서비스를 제공하기 위한 확장으로 인해 증가하는 보안 요구 사항을 해결하는 보안에 대한 보다 통일된 접근 방식을 확립하고자 했습니다.
Grammarly는 먼저 보안 투자의 우선순위를 정하고 비즈니스가 빠르게 움직이고 위험을 효과적으로 완화할 수 있도록 지원하기 위해 보안 태세를 종합적으로 이해해야 했습니다.
Grammarly는 보안 프로세스를 개선하여 일관성을 높이고 팀이 위협에 보다 효율적으로 대응할 수 있는 기회를 인식했습니다.
용액
Grammarly는 Wiz를 사용하여 코드, 클라우드 및 구성에 대한 통합 보안 전략을 구현했으며, 재현 가능한 결과, 심층적인 추론 및 자체 수정이라는 세 가지 핵심 원칙에 중점을 두었습니다.
Grammarly는 개발자에게 Wiz에 대한 직접 액세스를 제공하여 개발자가 Wiz를 적극적으로 사용하여 개발 주기 초기에 취약점을 식별하고 해결할 수 있도록 했습니다.
Grammarly는 Wiz를 통해 워크플로 및 보안 제어를 자동화함으로써 보안 운영을 간소화하고 수동 작업을 줄였습니다.
Achieved 100%
coverage of its cloud accounts
Zero critical/high risks
achieved
Established consistent mean time to detect
and faster mean time to remediate
엔터프라이즈급 보안 요구 사항을 충족하기 위한 진화
매혹적인 마케팅과 잘 만들어진 학술 에세이부터 전문적인 이메일 등에 이르기까지, 그래럴리 커뮤니케이션과 생산성을 위한 신뢰할 수 있는 AI 비서입니다. 이 회사는 4천만 명 이상의 사람들과 50,000개 이상의 조직이 브레인스토밍, 작성 및 커뮤니케이션을 강화하여 업무를 진전시킬 수 있도록 지원합니다.
최근 몇 년 동안 Grammarly는 소비자 중심의 솔루션을 넘어 B2B 엔터프라이즈 플랫폼을 도입하기 위해 진화했으며, 이는 새로운 사용 사례, 혁신적인 기능 및 고유한 보안 문제를 가져왔습니다. Grammarly가 대량의 복잡한 엔터프라이즈 데이터를 처리할 수 있도록 확장됨에 따라 팀은 클라우드, 코드 및 런타임 전반에 걸쳐 보안 제어를 통합해야 할 필요성을 인식했습니다.
Grammarly의 최고 정보 보안 책임자인 Sacha Faust는 "B2C에서 B2B로 발전함에 따라 우리의 위험 프로필이 완전히 바뀌었으며, 우리는 수년 동안 B2C 고객과 구축한 것과 동일한 신뢰를 기업 고객과의 신뢰를 유지하기 위해 최선을 다하고 있습니다. "보안은 Grammarly DNA의 핵심이며 회사의 미래에 필수적이며, 이것이 바로 우리가 보안 워크플로우를 강화하기 위해 상당한 개선을 이루고 있는 이유입니다."
우리 엔지니어링 팀은 맹렬한 속도로 움직이기 때문에 병목 현상을 일으키고 싶지 않습니다. 우리는 프로덕션에서 잠재적으로 바람직하지 않은 상황을 신속하게 식별하고 자체 수정할 수 있는 자동화된 워크플로우와 보안 제어를 구축해야 했습니다.
이러한 문제를 해결하기 위해 Grammarly는 자동화된 자산 검색, 재현 가능한 결과, 심층적인 추론 및 자체 수정 기능이라는 네 가지 주요 기준에 따라 보안 플랫폼을 평가했습니다. Wiz는 포괄적인 엔터프라이즈급 보안 전략을 구현하고, 속도와 정확성으로 개발자 경험을 개선하고, 업계 규정 준수를 지원한다는 Grammarly의 목표를 지원하는 이상적인 플랫폼으로 두각을 나타냈습니다.
Wiz와 함께 설계에 따른 보안 프로세스 수립
Grammarly는 항상 엔지니어링과 보안을 전체의 두 부분으로 간주하여 빠른 개발과 강력한 보안 조치 사이의 균형을 우선시해 왔습니다. 팀은 보안 전략을 수립하기 시작했을 때 개발자 경험을 최우선으로 고려했습니다. 그러나 기존 설정으로는 개발자가 Grammarly의 엄격한 보안 표준을 유지하면서 빠르게 이동할 수 없었습니다.
Grammarly는 이전에 AWS에 내장된 보안 도구에 의존했으며 개발 주기를 최적화하기 위해 왼쪽 이동의 우선 순위를 지정했습니다. 그러나 팀은 이 목표를 달성하려면 엔지니어에게 단일 정보 소스를 제공하기 위해 전체 클라우드 환경에 대한 가시성을 개선해야 한다는 것을 인식했습니다
"우리는 기업 고객과 개발자 모두가 옳은 일을 하기 위해 최선을 다하고 있습니다. 이전 설정에서는 고객과 내부 팀 모두에게 우리의 기준을 충족하는 경험을 제공하지 못했습니다"라고 Faust는 설명합니다. "우리는 응집력 있는 스토리를 전달하지 못하고 정보에 입각한 결정을 내리는 데 필요한 컨텍스트를 제공할 수 없는 여러 도구를 사용하고 있었습니다."
Wiz는 팀이 보안을 손상시키지 않고 빠르게 반복할 수 있도록 하는 보안 설계 솔루션을 구축하려는 Grammarly의 전략에 완벽하게 부합합니다. 구현하여 위즈 클라우드를 통해 Grammarly는 클라우드 환경에 대한 포괄적인 가시성을 확보했습니다. 이를 통해 팀은 취약점을 조기에 탐지하고 해결을 위한 실행 가능한 권장 사항을 받을 수 있으므로 사이버 위협에 대한 회사의 잠재적 노출을 최소화할 수 있습니다.
탐지 및 대응을 자동화하여 취약성 감소
개발자 경험에 대한 끊임없는 집중을 통해 Grammarly는 모든 엔지니어가 Wiz에 액세스할 수 있도록 하여 필요할 때 정확히 필요한 컨텍스트와 정보를 빠르게 얻을 수 있도록 했습니다. "우리는 보안을 엔지니어링 관행에 통합하여 절대 나중에 생각하지 않도록 했습니다"라고 Faust는 말합니다.
Wiz Security Graph는 개방형 탐색에 특히 유용하며, 개발자는 이를 통해 현재 프로덕션 환경 및 코드 저장소와의 대응을 조사할 수 있습니다. 또한 Grammarly는 Wiz 런타임 센서 Wiz 내에서 텔레메트리를 개선하여 개발자에게 보안 위험 및 우선 순위에 대해 보다 정보에 입각한 결정을 내리는 데 필요한 통찰력을 제공합니다.
Wiz의 역할 기반 액세스 제어는 적절한 자산에 대한 액세스를 사용자 지정할 수 있는 유연성을 제공하여 개발자가 독립적으로 재스캔을 시작하고 수정 사항의 정확성을 확인할 수 있도록 합니다. 또한 Wiz CLI를 사용하여 스캔 기능을 빌드 및 배포 프로세스에 직접 통합했습니다.
Grammarly는 새로운 애플리케이션을 개발 및 배포할 때 개발 주기 초기에 그리고 워크플로우 내에서 직접 개발자에게 보안 피드백을 제공하는 것을 목표로 합니다. 이 방법을 사용하면 개발자가 코드의 잠재적인 보안 결함을 이해하고 해결하는 데 필요한 모든 정보를 받을 수 있습니다. Wiz Guardrails를 활용하여 위즈 코드, Grammarly는 구축, 배포 및 운영 단계 전반에 걸쳐 다층 게이팅 메커니즘을 사용하여 소프트웨어 공급망의 모든 구성 요소에 대한 보안에 대한 응집력 있는 접근 방식을 도입했습니다.
팀은 Wiz CLI를 GitLab과 직접 통합하여 코드 변경으로 인해 발생하는 문제를 개발자에게 경고하여 개발 주기 초기에 잠재적인 문제를 해결할 수 있도록 했습니다. 또한 Wiz Admission Controller는 빌드 및 배포 단계 모두에서 추가 검증 계층을 추가하는 동시에 애플리케이션 보안에 대한 업계 표준을 계속 준수합니다.
보안을 강화하여 Zero Critical 상태 달성
대단한'의 포괄적인 보안 프레임워크는 인프라에 대한 Grammarly의 가시성을 향상시켰습니다. 프로덕션 환경에 대한 명확한 정보 소스를 통해 팀은 더 많은 정보에 입각한 결정을 내릴 수 있습니다. Grammarly는 런타임 센서를 다른 도구와 함께 사용하여 잠재적인 보안 위협을 탐지하고 우선 순위를 지정하는 기능을 개선하여 팀이 인프라 내에서 엣지 서비스를 식별하고 모니터링할 수 있도록 했습니다. 이러한 심층적인 상황화를 통해 Grammarly는 중요한 문제를 신속하게 제로화할 수 있었습니다.
Wiz를 통해 보안 운영을 간소화함으로써 개발자 속도를 유지하면서 수정 SLA 실패 0을 성공적으로 달성했습니다.
Wiz를 채택한 이후 Grammarly는 수동 구성이 필요한 여러 분산형 보안 도구를 폐기했습니다. 이를 통해 Grammarly의 기술 부채가 줄어들었고 일관된 평균 탐지 시간, 더 빠른 평균 수정 시간, 보안 우선 순위를 더 명확하게 이해할 수 있었습니다.
"Wiz를 사용하면 안전하고 긍정적인 사용자 경험을 동시에 제공할 수 있습니다"라고 Grammarly의 보안 자동화 수석 엔지니어인 Serhii Vasylenko는 말합니다. "우리 팀은 엔지니어에게 무엇을 해야 하는지 조언하는 컨설턴트에서 처음부터 안전한 소프트웨어를 만드는 진정한 파트너로 발전했습니다."
