Как Wiz достигает целей CISA «Безопасность по дизайну» | Блог волшебников

Когда Агентство кибербезопасности и безопасности инфраструктуры (CISA) искало участников-учредителей для своей инициативы Secure by Design, компания Wiz имела честь поддержать ее в качестве первого члена. Нам всего 4 года, и мы извлекаем выгоду из отсутствия технического долга и динамичной культуры, подкрепленной верой в то, что безопасность и инновации должны развиваться вместе.

Как заявил директор по информационной безопасности Wiz Райан Казансян в своей заявление о поддержке«В основе компании Wiz лежит убеждение, что быстрое строительство не может осуществляться за счет безопасного строительства. Клиенты, которых мы обслуживаем, не должны ожидать меньшего. Wiz надеется на продолжение помощи нашим партнерам в CISA и за его пределами. Помимо повышения планки и повышения ожиданий, когда речь идет о безопасности по замыслу.

В честь Месяца осведомленности о кибербезопасности мы хотели бы поделиться обновленной информацией о том, как мы продвигаемся по выполнению обязательств, изложенных в Обещании Secure by Design. Совместное использование этих усилий — это еще один способ, которым мы надеемся расширить этот разговор и в конечном итоге создать более широкую экосистему, которая не только безопасна по своей конструкции, но и безопасна по умолчанию и по требованию.

Обязательство : Продукт должен поддерживать безопасную аутентификацию.

Wiz обеспечивает прозрачность облачных разрешений, необходимых каждому компоненту продукта для работы со средами клиентов. Документация по продукту включает подробные объяснения каждого разрешения и причины его необходимости. Разработчики Wiz и члены группы безопасности продукта гарантируют, что запрошенные разрешения используют наименьшее количество привилегий, необходимых для реализации каждой функции продукта.

Wiz поддерживает интеграцию любого приложения единого входа, совместимого с SAML 2.0 (например, Okta, Microsoft Entra ID и Google Workspace), чтобы предоставить клиентам доступ к своим клиентам Wiz. Это предоставляется всем клиентам Wiz без дополнительной оплаты и не ограничивается какими-либо конкретными лицензиями или уровнями продуктов.

Хотя большинство клиентов интегрируют систему единого входа для управления доступом своих пользователей к Wiz, мы также применяем обязательную многофакторную аутентификацию для всех клиентов Wiz, которые решили разрешить прямую аутентификацию.

ЧИТАТЬ  Квартира на Саввинской набережной по проекту Сергея Махова

Wiz не использует пароли по умолчанию для доступа пользователей или служб к своим продуктам. Все учетные данные уникальны и предоставляются через защищенные каналы.

Для клиентов, которым необходимо подключить сторонние продукты к своему экземпляру Wiz или создать пользовательскую интеграцию с помощью API Wiz, Wiz предоставляет возможность безопасно создавать учетные записи служб (SA) и управлять ими. Wiz придерживается шаблонов безопасного проектирования для защиты учетных данных SA, включая использование потока токенов API для каждого запроса с кратковременными токенами, а также возможность обеспечивать детальные разрешения и настраиваемые даты истечения срока действия для пользовательских SA интеграции.

Wiz предоставляет клиентам возможность применять дополнительные механизмы глубокой защиты для обеспечения безопасности аутентификации, включая включение ограничений по домену и IP-адресу для входа в систему, а также независимо настраиваемые параметры времени жизни сеанса и времени бездействия.

Обязательство : Компания-разработчик программного обеспечения должна систематически устранять целые классы дефектов программного обеспечения во всех своих продуктах.

Продукты Wiz созданы с использованием языков, безопасных для памяти. Серверная часть Wiz реализована на Go, а датчик времени выполнения Wiz — на Rust. Это ограничивает уязвимость продукта к таким уязвимостям, как переполнение буфера.

Все веб-или программные взаимодействия с платформой Wiz SaaS происходят через аутентифицированную конечную точку GraphQL. API GraphQL строго типизирован и обеспечивает проверку схемы и входных данных перед любыми манипуляциями с кодом. Конечная точка принимает только запросы POST, и каждый запрос должен включать подписанный файл cookie, связанный с пользователем, для которого он был создан. Wiz также использует интерфейсные платформы, которые обеспечивают встроенную защиту от межсайтовых сценариев и аналогичных классов уязвимостей веб-приложений.

В рамках внутренних процессов реагирования на инциденты Wiz, всякий раз, когда в компоненте продукта Wiz или в инфраструктуре и службах, которые его поддерживают, выявляется значительная уязвимость, команда безопасности Wiz выполняет анализ первопричин, определяет профилактические задачи для уменьшения или устранения вероятность подобных инцидентов. инцидентов в будущем и работать с командами Wiz Engineering над реализацией этих улучшений. Инциденты проверяются менеджерами по безопасности и продуктам не реже одного раза в квартал для поддержки этих процессов и выявления тенденций.

ЧИТАТЬ  На неделе дизайна Милана мода находится в центре сцены

Обязательство : Производители программного обеспечения должны предоставлять клиентам журналы безопасности в базовой версии продукта.

Wiz предоставляет всем клиентам доступ к журналам аудита, в которых записываются подробные события, связанные с безопасностью, связанные с их экземпляром продукта, без каких-либо дополнительных затрат. Эти журналы хранятся и доступны на портале Wiz клиентов в течение 180 дней и могут быть отправлены в SIEM или хранилище данных для более долгосрочного хранения.

Чтобы обеспечить прозрачность и эффективное сотрудничество, Wiz предоставляет своим клиентам документированную модель совместной ответственности, в которой разграничиваются обязанности, управляемые Wiz и управляемые клиентом, за ведение журналов, мониторинг, реагирование на инциденты и другие функции управления.

Обязательство : Производитель программного обеспечения должен хранить и передавать данные о происхождении сторонних зависимостей, а также иметь процессы, регулирующие их использование и вклад в компоненты программного обеспечения с открытым исходным кодом.

Wiz проверяет безопасность сторонних компонентов и компонентов с открытым исходным кодом, которые она использует в своих продуктах, посредством сочетания технического и технологического контроля. Это включает в себя:

  • Автоматическое сканирование репозиториев системы контроля версий, внутри конвейера CI/CD и в производственных средах для выявления компонентов программного обеспечения, которые могут быть уязвимыми, с истекшим сроком службы или иным образом несанкционированными.

  • Сторонняя программа управления рисками, которая постоянно оценивает продукты и технологии, используемые для поддержки продуктов Wiz и бизнес-операций, на основе их классификации рисков.

  • Политики, процедуры и обучение для информирования разработчиков об утвержденных процессах использования сторонних компонентов программного обеспечения и компонентов с открытым исходным кодом.

  • Дополнительные механизмы управления и проверки, реализованные юридическими отделами и службами безопасности Wiz.

Wiz также предоставляет клиентам встроенные функции инвентаризации SBOM, которые отслеживают все компоненты программного обеспечения, включая такие детали, как пакеты операционной системы, библиотеки кода, менеджеры пакетов, лицензии и многое другое. — и ресурсы, на которых они были идентифицированы во всех подключенных облачных средах клиента. .

ЧИТАТЬ  Преподавателя графики в школе-интернате стоимостью 35 000 фунтов стерлингов в год дисквалифицировали на всю жизнь за то, что он снял на видео свой секс с ученицей-подростком

Обязательство : Производитель программного обеспечения должен прозрачно и своевременно сообщать об уязвимостях как для локальных, так и для облачных продуктов.

Будучи продуктом только SaaS, Wiz поддерживает Политику управления уязвимостями, которая определяет соглашения об уровне обслуживания и процессы реагирования на типы уязвимостей на ее платформе, которые могут повлиять на клиентов. Wiz по контракту обязуется соблюдать эти соглашения об уровне обслуживания в своих клиентских соглашениях и подчиняется сторонним и внутренним аудитам, чтобы гарантировать, что ее программы операций по обеспечению безопасности соответствуют этим процессам и срокам. Как отмечалось ранее, Wiz также предоставляет клиентам модель совместной ответственности, которая определяет обязательства Wiz и клиента по управлению уязвимостями на основе вариантов развертывания продукта и используемых функций.

Wiz поддерживает Трастовый центр портал для своих клиентов, который обеспечивает самообслуживаемый доступ к политикам, процедурам, уведомлениям безопасности и сторонним отчетам об оценках (таким как аудиты программ безопасности, тесты на проникновение и связанные с ними артефакты). Wiz также управляет внешней программой вознаграждения за обнаружение ошибок, которая позволяет любому исследователю ответственно раскрывать уязвимости и определяет круг сайтов и типы проблем, которые имеют право на вознаграждение и не подлежат вознаграждению. Наконец, Wiz регулярно предоставляет клиентам подробную информацию об исправленных уязвимостях в своих примечаниях к выпуску.

Source

Оцените статью
Своими руками