Desafio
Depois de reunir duas empresas, a equipe de segurança da Vistra procurou melhorar a visibilidade do ambiente multinuvem/multiarquitetura do Vistra reimaginado.
A Security também queria melhorar a governança e a postura de risco de seu ambiente de nuvem expandido.
Com várias soluções pontuais em vigor, a equipe de segurança procurou aprimorar e consolidar seu kit de ferramentas.
Solução
O Vistra pode ver como todos os recursos estão conectados, usando o Wiz para permitir que equipes multifuncionais colaborem na integração e proteção de novas unidades de negócios' Ambientes de nuvem pós-fusão.
Vistra agora identifica riscos de alta prioridade e a postura de risco dos principais ativos usando o Wiz para priorizar questões de remediação, fortalecer a governança.
O Vistra reduziu a necessidade de soluções de segurança de vários pontos com o suporte da Wiz para ambientes híbridos e processos sem agente, simplificando os processos de segurança e reduzindo os gastos gerais.
Complete visibility
across the multi-cloud environment
Proactively reduces risks
and ensures compliance across all businesses and new products
Deployed a full-featured cloud security platform
reducing the need for multiple point solutions
Melhorando a governança em um ambiente multinuvem em crescimento
Vistra é uma fornecedora líder de serviços comerciais essenciais, como recursos humanos, impostos, gestão de entidades jurídicas e conformidade regulatória, que ajudam empresas e fundos de capital privado a crescer em todo o ciclo de vida de seus negócios e investimentos. Criado pela combinação do Tricor Group e da Vistra, o Vistra reimaginado experimentou um crescimento acelerado dos negócios e supervisiona um grande ambiente multinuvem/arquitetura.
Como resultado, a equipe de segurança e outras partes interessadas importantes precisavam de visibilidade holística de sua presença global na nuvem, com a capacidade de aplicar e impor a governança de forma consistente e rápida.
Queremos consolidar o que temos e reunir as melhores ferramentas, práticas e integrações para nossa equipe de segurança. Por exemplo, se detectarmos um risco ou um incidente em uma plataforma, devemos ser capazes de responder em outra. Tudo deve funcionar em conjunto de maneira perfeita e sem atrito.
Mudança para a esquerda para desenvolver produtos seguros por design
A Vistra queria atingir metas de curto e longo prazo com segurança. No curto prazo, a empresa viu uma oportunidade de racionalizar as ferramentas de segurança. Ao consolidar as melhores soluções, a equipe de segurança ganharia visibilidade holística, garantiria a consistência da governança com um conjunto de políticas e seria capaz de identificar riscos e priorizar correções.
"Originalmente, estávamos usando recursos de CDR nativos da nuvem em diferentes plataformas, mas isso estava criando várias políticas, regras e mecanismos de monitoramento em nosso ambiente em um momento em que queríamos centralizar e consolidar a funcionalidade", diz Him Tang, gerente de segurança cibernética da Vistra.
Simplificando a colaboração para permitir a melhoria contínua
A Vistra analisou vários fornecedores, escolhendo a Wiz por causa de sua amplitude de serviços, usabilidade e custo. Ao implantar o Wiz, a Vistra obteve a visibilidade holística e a governança em toda a infraestrutura de nuvem que a equipe de segurança buscava. A equipe adotou rapidamente Wiz CNAPP funcionalidades, incluindo Wiz DSPMe Varredura de IaC para detectar riscos de segurança desde o início.
Para identificar caminhos de ataque críticos, a equipe de segurança usa o Wiz para verificar todos os recursos e tecnologias em seu ambiente de nuvem em máquinas virtuais, contêineres e funções sem servidor. Todas as equipes da Vistra agora acessam o Wiz para obter a mesma visão dos recursos da nuvem, com riscos, contexto e correlações integrados, enquanto a TI e a segurança simplificam os processos de gerenciamento de inventário da nuvem.
A equipe de segurança usa essas informações e fluxos de trabalho automatizados para priorizar e corrigir riscos, como exposições de PII ou PCI. Da mesma forma, os desenvolvedores obtêm insights acionáveis sobre riscos de alta prioridade a serem abordados durante o ciclo de desenvolvimento do produto sem ruído ou a necessidade de criar contexto e correlações manualmente.
"Antes, podíamos definir políticas em nossas contas AWS e Azure, mas não conseguíamos ver as inconsistências e outros riscos. Com o Wiz, temos visibilidade e insights para revisar configurações e políticas de forma proativa em todos os nossos locatários, permitindo que a Vistra crie uma cultura de melhoria contínua", diz Tang.
À medida que a Vistra continua sua jornada para mudar para a esquerda, criando um verdadeiro recurso de DevSecOps, capacitando os desenvolvedores com os insights necessários para identificar e abordar os riscos em todo o ciclo de vida de desenvolvimento do produto, em vez de fazer correções posteriormente.
"O DevSecOps ainda está amadurecendo para nossa empresa. Como resultado, estamos verificando novos aplicativos para garantir que as equipes de desenvolvimento abordem os riscos críticos antes de lançar novos produtos", diz Tang.
À medida que avançamos para um modelo de infraestrutura como código, a Wiz está nos ajudando a mudar para a esquerda e escanear o código para identificar e corrigir riscos no início do ciclo de vida de desenvolvimento do produto. Aumentar esses recursos nos ajuda a garantir aos proprietários de negócios que os aplicativos são seguros por design.
As equipes de desenvolvimento, infraestrutura e segurança usam o Wiz Projects e controles de acesso baseados em funções para permitir a colaboração de colaboradores internos e externos no Wiz. A equipe conjunta usa uma zona de destino na nuvem e verificação de conformidade com a Wiz para integrar novas unidades de negócios com rapidez e segurança. Com essa funcionalidade, o Vistra avalia e mantém automaticamente a conformidade regulatória com uma pontuação de postura de risco, estruturas integradas e relatórios.
Ao capacitar equipes multifuncionais com maior visibilidade, identificação de riscos e recursos de correção, a Vistra melhorou muito sua postura de segurança na nuvem, ao mesmo tempo em que melhorou a eficiência operacional.
A Wiz fornece um único painel de controle para segurança na nuvem no Vistra. Ganhamos a visibilidade, as ferramentas de colaboração e os recursos de relatórios de que precisamos para acelerar a integração de nossas duas empresas e permitir o desenvolvimento seguro de produtos.
Recursos de segurança em rápida evolução para dar suporte ao crescimento futuro
A Vistra estabeleceu a base de segurança para permitir um crescimento rápido e contínuo usando o Wiz. Equipes multifuncionais podem integrar novos sistemas de forma rápida e segura, projetar produtos seguros e simplificar a colaboração. As equipes têm visibilidade completa de sua infraestrutura multinuvem, com riscos e correlações contextualizados, permitindo que definam estratégias de segurança, desenvolvam recursos de gerenciamento de riscos e abordem vulnerabilidades de forma proativa.
Em seguida, o Vistra planeja explorar Wiz CDR para elevar seus recursos de detecção, investigação e resposta a ameaças. O Wiz CDR combina sua abordagem baseada em gráficos sem agente com logs de atividades na nuvem, permitindo que as equipes identifiquem ameaças de forma proativa, simulem visualizações de invasores, limitem seus danos e executem análises forenses em escala durante uma ameaça em andamento.
