Central de Confiabilidade de Segurança Wiz

Autenticação e autorização fortes

A Wiz impõe o uso de uma plataforma Single Sign On (SSO) e FIDO2 Multi Factor Authentication (MFA) resistente a phishing para acesso de funcionários aos sistemas Wiz. A Wiz utiliza funções do IAM e tokens de curta duração para acesso a ambientes de nuvem. O acesso a ambientes de desenvolvimento e produção é ainda mais restrito por meio do uso de um processo de administração Just in Time para minimizar privilégios permanentes, verificações de postura do dispositivo e o uso de uma solução de acesso à rede de confiança zero.

Arquitetura de segurança na nuvem

O ambiente de produção Wiz é executado como infraestrutura imutável e é estritamente gerenciado por meio de infraestrutura como código. Mecanismos automatizados incorporados ao processo SDLC e ao pipeline de CI/CD da Wiz garantem que as alterações de configuração sejam rigorosamente controladas, passem por verificações de segurança e estejam sujeitas a auditoria e aprovação. Alterações não autorizadas na produção são automaticamente detectadas e encaminhadas para equipes de segurança e operações. A Wiz utiliza mecanismos de segurança de rede nativos da nuvem, em conjunto com seus controles de autenticação e autorização, para restringir o acesso remoto à infraestrutura de nuvem, impor um perímetro seguro e segregar ambientes internos.

Wiz4Wiz

A Wiz usa uma implantação interna de seu próprio produto ("Wiz4Wiz") para monitorar e proteger continuamente seus ambientes de nuvem. As equipes de segurança e engenharia colaboram na plataforma Wiz para identificar, priorizar e corrigir vulnerabilidades, aplicar e validar controles preventivos e detectar e responder a possíveis ameaças. A Wiz aplica estruturas de melhores práticas do setor, bem como orientações das próprias equipes de pesquisa internas da Wiz, para fortalecer e avaliar seus ambientes de nuvem continuamente.

Ciclo de vida de desenvolvimento seguro

A Wiz garante a segurança e a integridade de sua infraestrutura e código de produto em todo o SDLC. Esses mecanismos incluem varredura secreta automatizada, testes de segurança estáticos e dinâmicos, varredura de vulnerabilidade de imagem de contêiner usando WizCLI, revisão por pares obrigatória para alterações de código e recursos de segurança adicionais nas plataformas de controle de origem e CI/CD da Wiz. A equipe de segurança da Wiz faz parceria com a engenharia para realizar modelagem de ameaças, revisões de design de segurança e revisões de implementação de segurança de recursos de produtos emergentes e alterações na infraestrutura de desenvolvimento e produção.

Conscientização de segurança

Os programas de conscientização da Wiz incluem treinamentos recorrentes focados em segurança da informação e privacidade de dados, orientação contínua sobre ameaças emergentes e diretrizes e procedimentos específicos da equipe para garantir que os funcionários possam adotar práticas seguras em seu trabalho diário. Ao promover uma cultura de conscientização de segurança, a Wiz pode reduzir significativamente o risco de erro humano que leva a violações de dados ou incidentes de segurança. Essa abordagem proativa não apenas protege os dados dos clientes, mas também melhora a reputação da Wiz, aumenta a confiança do cliente e garante a conformidade normativa, contribuindo para seu sucesso a longo prazo.

Registro, detecção e resposta

A Wiz emprega um sistema de Gerenciamento de Eventos de Informações de Segurança que ingere telemetria de segurança de ambientes corporativos, de desenvolvimento e de nuvem de produção. Os dados recebidos são processados por meio de um pipeline de detecção e retidos em um data lake de segurança. As detecções e alertas são encaminhados para engenheiros de plantão por meio de sistemas de tickets, mensagens e paginação. A equipe de segurança da Wiz opera globalmente para triar, investigar e corrigir eventos rapidamente.

Segurança de endpoint

As estações de trabalho Wiz executam software de detecção e resposta de endpoints que fornece recursos de prevenção, detecção, registro de atividades, contenção e investigação de malware e ataques. A Wiz também implanta o software de Prevenção de Perda de Dados para proteger e gerenciar o fluxo de informações confidenciais dentro dos sistemas Wiz. A aplicação de patches e o gerenciamento de configuração de segurança são abordados por meio de soluções de Gerenciamento de Dispositivos Móveis e Gerenciamento de Aplicativos Móveis.

Gestão de Riscos

O processo de gerenciamento de riscos da Wiz é integrado às funções técnicas e de negócios em toda a empresa, ajudando as equipes a identificar oportunidades para melhorar a segurança e a privacidade e mitigar ameaças. Isso permite que a Wiz proteja ativos críticos e respeite seus compromissos com clientes, regulatórios e legais. O gerenciamento eficaz de riscos também permite que a Wiz se adapte e evolua no cenário em constante mudança das ameaças cibernéticas, garantindo o sucesso a longo prazo no fornecimento de soluções de segurança robustas.

Gestão de Riscos de Fornecedores

Garantir a segurança e a confiabilidade dos produtos e serviços dos fornecedores é vital para manter a integridade das ofertas da Wiz e proteger os dados dos clientes. Um programa robusto de gerenciamento de riscos de fornecedores ajuda a mitigar possíveis violações, garante a conformidade regulatória e preserva a confiança do cliente, tornando-se um componente essencial da estratégia geral de segurança da Wiz.

Auditorias e Compliance

A Wiz mantém um programa abrangente de auditorias e conformidade para manter os padrões do setor, os requisitos regulamentares e as leis de proteção de dados em todo o mundo. Tais programas garantem que as operações da Wiz atendam ou excedam as diretrizes e práticas recomendadas estabelecidas e ajudam a identificar e corrigir potenciais vulnerabilidades. A Wiz se envolve na supervisão terceirizada de seus programas de segurança e privacidade em toda a organização, bem como em avaliações técnicas recorrentes, como testes de penetração e equipes vermelhas, de seus produtos e infraestrutura.

Criptografia e gerenciamento de chaves

A Wiz usa soluções de chave nativas da nuvem, como o AWS KMS, para armazenamento e gerenciamento seguros de chaves. Os controles automatizados garantem que as chaves não sejam armazenadas ou transferidas por meio de métodos inseguros ou não aprovados.