Desafio
À medida que empreendiam sua transformação digital, a Mars precisava obter visibilidade de seu crescente ambiente de nuvem e um inventário completo de ativos.
A Mars queria construir um processo e um relacionamento confiáveis com as equipes de DevOps para remediação.
A Mars queria implementar salvaguardas e padrões para a nuvem e precisava entender melhor o estado e os riscos que tinham.
Solução
A solução sem agentes do Wiz foi implantada em minutos e trouxe visibilidade imediata para áreas da nuvem sobre as quais a equipe de segurança não estava ciente.
O Wiz permitiu que a Mars ganhasse confiança com as equipes de DevOps com riscos priorizados e ricos em contexto para remediação.
A Mars fortaleceu sua postura de segurança na nuvem com uma solução que fornece informações sobre seus ativos e riscos na nuvem para que eles possam criar melhores processos e padrões.
A Mars é uma empresa multinacional de bens de consumo conhecida por seus doces. Nos últimos anos, eles migraram para a nuvem e desenvolveram novos conhecimentos e maneiras de trabalhar para apoiá-los. Eles usam principalmente o Azure para centralizar seus serviços orientados ao usuário e inovar suas ofertas digitais. À medida que seu uso da nuvem continua a se expandir, a organização de segurança se esforça para construir um relacionamento colaborativo com as equipes de desenvolvedores e DevOps da Mars para garantir que sua postura de segurança na nuvem possa acompanhar a velocidade de inovação.
Com muitas equipes implantando na nuvem e introduzindo novas tecnologias, a equipe de segurança se viu com a responsabilidade de mapear e entender o que estava na nuvem à medida que migrava de um modelo em que as implantações eram gerenciadas pelo núcleo de TI para um de propriedade de uma ampla gama de equipes de desenvolvimento. Suas principais prioridades eram obter visibilidade de tudo em seu ambiente de nuvem, tanto ativos principais quanto secundários, e desenvolver relacionamentos fortes e confiáveis com o DevOps para garantir que eles fossem capazes de corrigir quaisquer problemas que surgissem da forma mais eficiente possível.
Quando você traz uma nova ferramenta, precisa convencer as pessoas do benefício e gerar confiança nos dados. Muitas ferramentas de segurança erram do lado dos falsos positivos e do excesso de descobertas. O DevOps nunca os esquece. Uma vez que você recebe um falso positivo, o DevOps começa a perder a fé em seus resultados. Não passamos por isso com o Wiz. Quando o Wiz encontra algo, ele realmente existe. De todas as ferramentas com as quais trabalhamos, recebemos a menor quantidade de retorno quando recorremos ao DevOps com um problema detectado pelo Wiz.
Eles se propuseram a encontrar uma solução de segurança de infraestrutura nativa da nuvem que pudesse fornecer visibilidade de toda a extensão de seu ambiente de nuvem e contexto profundo sobre riscos que ajudaria a equipe de segurança a trabalhar de forma mais eficaz e rápida com o DevOps para priorizar e corrigir problemas. Após um exame minucioso do mercado, eles encontraram o Wiz.
O Wiz desmistifica grande parte do mundo Azure. Ele nos fornece uma visibilidade do ambiente melhor do que qualquer outra alternativa para que possamos compreendê-lo bem o suficiente para conversar com outras equipes, apesar de não sermos especialistas em nuvem. E sabemos que, se o Wiz identifica algo como crítico, de fato é. Podemos ver os elementos específicos que se unem para elevar uma questão a uma posição severa.
O Wiz unifica várias tecnologias de segurança na nuvem, incluindo CSPM, CWPP, CIEMe gerenciamento de vulnerabilidades e une os fatores de risco interconectados em várias camadas para identificar os problemas de maior prioridade. O Gráfico de Segurança do Wiz permite que a Mars visualize seu ambiente de nuvem e veja como tudo interage e se conecta. A visibilidade dos ativos em toda a nuvem, de PaaS a contêineres e imagens de VM, e a capacidade de mapear as relações entre eles trouxeram valor para as equipes de segurança e operações, e o contexto completo em torno dos riscos apresentado de maneira intuitiva ajudou a Mars a gerar confiança na importância dos problemas que o Wiz sinalizou nas equipes de segurança, desenvolvedores e de operações.
O Wiz tem nos ajudado com questões críticas em todos os níveis. Com o Log4j, por exemplo, o Wiz foi a primeira solução que tivemos que pôde verificá-lo — e aquela que funcionou melhor. Com o OMIGOD, nossas equipes na Europa foram capazes de identificá-lo e corrigi-lo antes mesmo que a equipe de segurança nos EUA acordasse, porque podiam ver o problema diretamente no Wiz. Isso faz com que a segurança pareça muito mais real quando as equipes podem ter acesso direto, em vez de examinar os relatórios da equipe de segurança.
Ao longo de 8-12 meses com o Wiz, a Mars foi capaz de afetar uma mudança radical em sua postura de segurança. Pela primeira vez eles obtiveram um inventário completo de ativos do seu ambiente de nuvem e foram capazes de fazer melhorias mensuráveis em sua postura de segurança em todos os âmbitos. Eles começaram com acesso e exposição externos, expandiram-se para configuração e conformidade e, mais recentemente, começaram a migrar a segurança à esquerda por meio da digitalização de imagens no pipeline.
A confiança que adquirimos sobre o que há em nosso ambiente e como ele está configurado, que o Wiz fornece, nos permite reportar à liderança sobre o que estamos fazendo em segurança na nuvem, e por quê. Por exemplo, podemos dizer com confiança que o Wiz está 100% implantado, o que nunca pudemos dizer com uma solução baseada em agentes. Não temos esse nível de confiança em qualquer outro lugar — apenas na nuvem. A nuvem deixou de ser nosso espaço menos compreendido para ser nosso espaço mais compreendido, e isso foi inteiramente devido ao Wiz.
A equipe de segurança conseguiu gerar confiança com as equipes de desenvolvedores e operações por meio do Wiz. Com dados ricos em sua nuvem e seus riscos, a Mars foi capaz de impulsionar novos padrões e guias em torno da segurança, ajudando a amadurecer a organização. As integrações que o Wiz trouxe prontas para uso permitiram que as equipes de DevOps conectassem o Wiz em seus fluxos de trabalho, para que pudessem se mover mais rapidamente e ver diretamente quaisquer problemas que surgissem, em vez de como relatórios de segurança.
A Mars encontrou no Wiz um parceiro de segurança de nuvem engajado com o qual podem colaborar para acompanhar a velocidade das mudanças e a complexidade na nuvem. Com a Wiz em vigor, a Mars tornou a nuvem a parte mais bem compreendida de seu ambiente, e portanto pode permitir que suas equipes de desenvolvedores e DevOps inovem e avancem rapidamente.
