Desafio
À medida que chegavam aos últimos estágios de sua jornada para se tornar nativos da nuvem, a ASOS precisava de um parceiro de segurança que pudesse escalar e ser tão nativo da nuvem quanto eles.
Quando o Log4j se instalou, a ASOS precisava de uma maneira clara de identificar imediatamente onde as instâncias do Log4j estavam localizadas.
A ASOS precisava da visibilidade, do contexto e da automação necessários para priorizar e corrigir o Log4j.
Solução
A solução sem agentes do Wiz permitiu que a ASOS obtivesse cobertura total de seu ambiente e identificasse todas as suas instâncias do Log4j em horas.
O Wiz deu à ASOS a base necessária para automatizar seus esforços de monitoramento de conformidade e proteção de segurança à medida que eles continuam sua jornada para se tornar totalmente nativos da nuvem.
A ASOS encontrou um parceiro de segurança que trabalha na escala necessária para criar uma fonte de verdade para a segurança na nuvem.
A jornada de segurança da ASOS como varejista que prioriza a nuvem
A ASOS é um destino para jovens de 20 e poucos anos amantes da moda em todo o mundo, com sede no Reino Unido. Como um negócio que prioriza o digital, eles investem pesado na nuvem e estão nos últimos estágios de se tornar totalmente nativos da nuvem. Eles são principalmente usuários do Azure e, como muitas organizações, sua equipe de segurança oferece suporte a uma organização de engenharia muito maior. Para acompanhar a velocidade das equipes de engenharia e o foco na nuvem, a equipe de segurança considera apenas soluções nativas da nuvem que podem ser dimensionadas para as necessidades de seus negócios.
Como uma equipe encarregada de dar suporte a uma propriedade de nuvem em rápido crescimento, a equipe de segurança da ASOS se esforça para encontrar soluções que lhes permitam dimensionar e obter informações mais ricas sobre seus ambientes de nuvem e quaisquer riscos potenciais. Eles começaram sua jornada de segurança na nuvem com ferramentas nativas de segurança na nuvem, mas à medida que amadureceram, queriam uma imagem mais abrangente do potencial ameaças à nuvem.
Estratégia de resposta e correção do Log4j
O poder de uma imagem abrangente do ambiente da ASOS e suas ameaças potenciais ficou muito claro quando o Log4j se instalou. Sua necessidade imediata era entender exatamente onde em seu ambiente se encontrava o Log4j. Com o apoio do Wiz, em poucas horas a equipe desenvolveu a cobertura completa de seu ambiente e visibilidade de onde havia instâncias do Log4j. A varredura sem agentes do Wiz e os insights profundos sobre cargas de trabalho ajudaram a ASOS a identificar com rapidez e precisão onde havia o Log4j em imagens de VM, sem servidor, PaaS e IaaS.
A falta de agentes no Wiz foi extremamente importante para nós. Como nossa infraestrutura está em constante evolução, a solução sem agentes do Wiz nos ajudou a obter 100% de cobertura rapidamente e em escala.
A ASOS também aproveitou os recursos do Wiz para oferecer suporte a insights sobre bibliotecas de terceiros. Isso forneceu mais visibilidade em sua pilha para que eles pudessem entender o papel que cada solução de terceiros desempenhava em seu ambiente, permitindo que priorizassem o risco potencial que cada uma representava e rastreassem quais eram as soluções de terceiros, além de abordar o Log4j por conta própria.
O contexto é crucial para a capacidade de priorizar riscos, além de ser algo com o qual muitas ferramentas de segurança têm dificuldade. A perspectiva de um fornecedor sobre o que é crítico não é necessariamente a mesma que a nossa. O Wiz nos dá a visão contextual dos riscos potenciais em nosso ambiente para que possamos obter uma melhor compreensão e priorizá-los com base em nosso conhecimento do que é crítico.
Depois de identificar suas instâncias do Log4j, o próximo passo foi priorizar e corrigir quaisquer problemas. A ASOS requeria uma visão contextual de cada instância do Log4j no ambiente, para que eles pudessem entender onde cada instância estava e como ela se relacionava com o restante do ambiente. O Wiz apoia a ASOS na identificação dessas informações e na elaboração de recomendações para seu plano de correção. Como resultado, eles conseguiram lidar com o Log4j de forma rápida e eficiente em seu ambiente e reportar à sua equipe de liderança.
O Log4j realmente provou o valor do Wiz para nós. Após implantarmos o Wiz, logo tínhamos um plano completo de correção que podíamos levar à liderança sênior.
Obtendo valor além do Log4j
A ASOS encontra continuamente novas formas de aproveitar o Wiz. O Wiz ajuda a fornecer à ASOS uma imagem de ponta a ponta de sua propriedade na nuvem, ao mesmo tempo em que capacita a equipe a mergulhar nos detalhes para riscos potenciais específicos. Isso cria uma base forte para priorizar e corrigir vulnerabilidades. Para continuar expandindo esse valor, a ASOS está criando planos para automatizar seu processo de endurecimento de segurança com o Wiz. Eles estão criando um fluxo contínuo entre as Operações de Segurança para monitorar problemas e a Garantia de Segurança para identificar e reunir padrões repetidos que podem deslocar à esquerda para a equipe de engenharia corrigir no pipeline de desenvolvimento. O Wiz oferece a capacidade de identificar esses padrões, criar essas políticas e automatizar sua implementação em todo o pipeline.
O Wiz é uma solução fácil de usar, fácil de configurar e incrivelmente poderosa que está se tornando um dos principais conjuntos de ferramentas em nosso arsenal. O volume e as informações que recebemos do Wiz ajudam a direcionar nosso foco para o futuro.
Com seu valor comprovado através do Log4j, o Wiz se tornou uma plataforma ideal para a ASOS. Da automação ao monitoramento de conformidade, a ASOS está recorrendo ao Wiz para obter suporte com cada vez mais frequência. Para uma equipe de segurança com requisitos rigorosos de escala e abordagens nativas da nuvem para qualquer ferramenta utilizada, a ASOS encontrou um verdadeiro parceiro no Wiz para criar uma fonte de verdade para sua segurança na nuvem.
