Когда Агентство кибербезопасности и безопасности инфраструктуры (CISA) искало участников-учредителей для своей инициативы Secure by Design, компания Wiz имела честь поддержать ее в качестве первого члена. Нам всего 4 года, и мы извлекаем выгоду из отсутствия технического долга и динамичной культуры, подкрепленной верой в то, что безопасность и инновации должны развиваться вместе.
Как заявил директор по информационной безопасности Wiz Райан Казансян в своей заявление о поддержке«В основе компании Wiz лежит убеждение, что быстрое строительство не может осуществляться за счет безопасного строительства. Клиенты, которых мы обслуживаем, не должны ожидать меньшего. Wiz надеется на продолжение помощи нашим партнерам в CISA и за его пределами. Помимо повышения планки и повышения ожиданий, когда речь идет о безопасности по замыслу.
В честь Месяца осведомленности о кибербезопасности мы хотели бы поделиться обновленной информацией о том, как мы продвигаемся по выполнению обязательств, изложенных в Обещании Secure by Design. Совместное использование этих усилий — это еще один способ, которым мы надеемся расширить этот разговор и в конечном итоге создать более широкую экосистему, которая не только безопасна по своей конструкции, но и безопасна по умолчанию и по требованию.
Обязательство : Продукт должен поддерживать безопасную аутентификацию.
Wiz обеспечивает прозрачность облачных разрешений, необходимых каждому компоненту продукта для работы со средами клиентов. Документация по продукту включает подробные объяснения каждого разрешения и причины его необходимости. Разработчики Wiz и члены группы безопасности продукта гарантируют, что запрошенные разрешения используют наименьшее количество привилегий, необходимых для реализации каждой функции продукта.
Wiz поддерживает интеграцию любого приложения единого входа, совместимого с SAML 2.0 (например, Okta, Microsoft Entra ID и Google Workspace), чтобы предоставить клиентам доступ к своим клиентам Wiz. Это предоставляется всем клиентам Wiz без дополнительной оплаты и не ограничивается какими-либо конкретными лицензиями или уровнями продуктов.
Хотя большинство клиентов интегрируют систему единого входа для управления доступом своих пользователей к Wiz, мы также применяем обязательную многофакторную аутентификацию для всех клиентов Wiz, которые решили разрешить прямую аутентификацию.
Wiz не использует пароли по умолчанию для доступа пользователей или служб к своим продуктам. Все учетные данные уникальны и предоставляются через защищенные каналы.
Для клиентов, которым необходимо подключить сторонние продукты к своему экземпляру Wiz или создать пользовательскую интеграцию с помощью API Wiz, Wiz предоставляет возможность безопасно создавать учетные записи служб (SA) и управлять ими. Wiz придерживается шаблонов безопасного проектирования для защиты учетных данных SA, включая использование потока токенов API для каждого запроса с кратковременными токенами, а также возможность обеспечивать детальные разрешения и настраиваемые даты истечения срока действия для пользовательских SA интеграции.
Wiz предоставляет клиентам возможность применять дополнительные механизмы глубокой защиты для обеспечения безопасности аутентификации, включая включение ограничений по домену и IP-адресу для входа в систему, а также независимо настраиваемые параметры времени жизни сеанса и времени бездействия.
Обязательство : Компания-разработчик программного обеспечения должна систематически устранять целые классы дефектов программного обеспечения во всех своих продуктах.
Продукты Wiz созданы с использованием языков, безопасных для памяти. Серверная часть Wiz реализована на Go, а датчик времени выполнения Wiz — на Rust. Это ограничивает уязвимость продукта к таким уязвимостям, как переполнение буфера.
Все веб-или программные взаимодействия с платформой Wiz SaaS происходят через аутентифицированную конечную точку GraphQL. API GraphQL строго типизирован и обеспечивает проверку схемы и входных данных перед любыми манипуляциями с кодом. Конечная точка принимает только запросы POST, и каждый запрос должен включать подписанный файл cookie, связанный с пользователем, для которого он был создан. Wiz также использует интерфейсные платформы, которые обеспечивают встроенную защиту от межсайтовых сценариев и аналогичных классов уязвимостей веб-приложений.
В рамках внутренних процессов реагирования на инциденты Wiz, всякий раз, когда в компоненте продукта Wiz или в инфраструктуре и службах, которые его поддерживают, выявляется значительная уязвимость, команда безопасности Wiz выполняет анализ первопричин, определяет профилактические задачи для уменьшения или устранения вероятность подобных инцидентов. инцидентов в будущем и работать с командами Wiz Engineering над реализацией этих улучшений. Инциденты проверяются менеджерами по безопасности и продуктам не реже одного раза в квартал для поддержки этих процессов и выявления тенденций.
Обязательство : Производители программного обеспечения должны предоставлять клиентам журналы безопасности в базовой версии продукта.
Wiz предоставляет всем клиентам доступ к журналам аудита, в которых записываются подробные события, связанные с безопасностью, связанные с их экземпляром продукта, без каких-либо дополнительных затрат. Эти журналы хранятся и доступны на портале Wiz клиентов в течение 180 дней и могут быть отправлены в SIEM или хранилище данных для более долгосрочного хранения.
Чтобы обеспечить прозрачность и эффективное сотрудничество, Wiz предоставляет своим клиентам документированную модель совместной ответственности, в которой разграничиваются обязанности, управляемые Wiz и управляемые клиентом, за ведение журналов, мониторинг, реагирование на инциденты и другие функции управления.
Обязательство : Производитель программного обеспечения должен хранить и передавать данные о происхождении сторонних зависимостей, а также иметь процессы, регулирующие их использование и вклад в компоненты программного обеспечения с открытым исходным кодом.
Wiz проверяет безопасность сторонних компонентов и компонентов с открытым исходным кодом, которые она использует в своих продуктах, посредством сочетания технического и технологического контроля. Это включает в себя:
-
Автоматическое сканирование репозиториев системы контроля версий, внутри конвейера CI/CD и в производственных средах для выявления компонентов программного обеспечения, которые могут быть уязвимыми, с истекшим сроком службы или иным образом несанкционированными.
-
Сторонняя программа управления рисками, которая постоянно оценивает продукты и технологии, используемые для поддержки продуктов Wiz и бизнес-операций, на основе их классификации рисков.
-
Политики, процедуры и обучение для информирования разработчиков об утвержденных процессах использования сторонних компонентов программного обеспечения и компонентов с открытым исходным кодом.
-
Дополнительные механизмы управления и проверки, реализованные юридическими отделами и службами безопасности Wiz.
Wiz также предоставляет клиентам встроенные функции инвентаризации SBOM, которые отслеживают все компоненты программного обеспечения, включая такие детали, как пакеты операционной системы, библиотеки кода, менеджеры пакетов, лицензии и многое другое. — и ресурсы, на которых они были идентифицированы во всех подключенных облачных средах клиента. .
Обязательство : Производитель программного обеспечения должен прозрачно и своевременно сообщать об уязвимостях как для локальных, так и для облачных продуктов.
Будучи продуктом только SaaS, Wiz поддерживает Политику управления уязвимостями, которая определяет соглашения об уровне обслуживания и процессы реагирования на типы уязвимостей на ее платформе, которые могут повлиять на клиентов. Wiz по контракту обязуется соблюдать эти соглашения об уровне обслуживания в своих клиентских соглашениях и подчиняется сторонним и внутренним аудитам, чтобы гарантировать, что ее программы операций по обеспечению безопасности соответствуют этим процессам и срокам. Как отмечалось ранее, Wiz также предоставляет клиентам модель совместной ответственности, которая определяет обязательства Wiz и клиента по управлению уязвимостями на основе вариантов развертывания продукта и используемых функций.
Wiz поддерживает Трастовый центр портал для своих клиентов, который обеспечивает самообслуживаемый доступ к политикам, процедурам, уведомлениям безопасности и сторонним отчетам об оценках (таким как аудиты программ безопасности, тесты на проникновение и связанные с ними артефакты). Wiz также управляет внешней программой вознаграждения за обнаружение ошибок, которая позволяет любому исследователю ответственно раскрывать уязвимости и определяет круг сайтов и типы проблем, которые имеют право на вознаграждение и не подлежат вознаграждению. Наконец, Wiz регулярно предоставляет клиентам подробную информацию об исправленных уязвимостях в своих примечаниях к выпуску.
