منذ بداية Wiz، كان فريق الأمان لدينا يستخدم مثيلًا داخليًا للمنتج، يسمى Wiz4Wiz. فهو يوفر رؤية أكبر لمواردنا ويمكّن من التحول إلى جو يسار يركز على مبادئ الأمان – من التصميم إلى التنفيذ.

ولا يتوقف إضفاء الطابع الديمقراطي على الأمن عند هذا الحد. الهدف من وظيفة الحوكمة والمخاطر والامتثال (GRC) لدينا (جزء من فريق Wiz Security) هو التأكد من أننا نتبع المتطلبات التنظيمية ومعايير الصناعة والسياسات الداخلية. يؤكد ماكس أناند، رئيس GRC، على أهمية استخدام Wiz4Wiz للحصول على رؤية في الوقت الفعلي لوضع الأمان والامتثال في Wiz، حتى تتمكن الفرق من التحقق من صحة المتطلبات المختلفة.

أحد أهداف Wiz الأساسية هو أن يكون لديك عقلية تعطي الأولوية للأمن، حيث يتحمل كل فرد وفريق المسؤولية.

غالبًا ما يُنظر إلى الأمن على أنه من اختصاص فريق أمني مركز، أو مجموعة فرعية من المهندسين – في Wiz، فهو مسؤولية جماعية. وهذا يدمج الأمان في مرحلة مبكرة من دورة حياة التصميم، ويسمح بمزيد من التركيز على التدابير الوقائية والميزات الجديدة، بدلاً من تخفيف المخاطر كفكرة لاحقة. وكوظيفة لهذا، يمكن لفريق GRC في Wiz الخدمة الذاتية واستخدام Wiz4Wiz للإجابة على أسئلة العملاء العاجلة والتي غالبًا ما تكون حساسة للوقت.

إحدى الميزات الفريدة لـ Wiz هي أنه يمكن تكوين التحكم في الوصول المستند إلى الدور (RBAC) من خلال المشاريع. بدلاً من تعيين كل دور بشكل فردي لمستخدم، يتم تحديد النطاق حسب ما هو مطلوب للمشروع. إنها طريقة تجعل الفرق الهندسية تشعر بالراحة فيما يتعلق بالوصول والأمان، ولكنها تتيح لهم أيضًا الوصول إلى كل ما يحتاجون إليه أثناء العمل في مشاريع معينة. يعد تحديد النطاق أمرًا مهمًا بالنسبة لـ GRC لأن لديهم إمكانية الوصول إلى Wiz4Wiz الذي يسمح لفريق Max بسحب المعلومات ذات الصلة المحيطة ببيئات الإنتاج والتكوينات السحابية بسرعة، دون حواجز الوصول.

على سبيل المثال، بالنسبة لمراجعات الوصول أو عمليات التدقيق ربع السنوية، قد يحتاج فريق GRC إلى تكوينات Wiz للخدمات المستخدمة، أو لعرض المخزون لجمع المعلومات. يمكنهم سحبها مباشرة من Wiz4Wiz. ونظرًا لوجود مئات من عناصر التحكم التي تحتاج إلى أدلة في كثير من الأحيان، فإن هذا يمكن أن يوفر أيامًا من العمل بدلاً من الاضطرار إلى المرور عبر جميع مراحل الوصول لجمع المعلومات من موفر السحابة. بالإضافة إلى ذلك، كفريق امتثال، لا يريد GRC نتائج بيئة التطوير. تتيح لهم القدرة على تحديد النطاق حسب المشاريع الوصول إلى الإنتاج بكفاءة لتلبية ما هو مطلوب.

أحد المكونات الأساسية لـ Wiz هو التمكين لكل من لديه مصلحة في الأمان. تفيد المنصة العديد من الأفراد، بما في ذلك الأشخاص خارج مجال الهندسة. يتيح استخدام الميزات التي تقلل من مستوى الوصول إلى البيئة السحابية، وإنشاء عناصر تحكم محددة في RBAC، وتقديم التقارير لمسؤولي Wiz أن يكونوا أكثر كفاءة ويتجنبوا تهميش طلبات المعلومات.

قائمة مواد البرنامج (SBOM) هي قائمة من المكونات التي تشكل مكونات برامج العصر الحديث. لقد أصبح أحد أهم مكونات البرامج وأمان سلسلة التوريد، وقد قامت Wiz بدمج ميزة مخزون SBOM لتسهيل الأمر. (اقرأ المزيد حول كيفية دعم Wiz لـ SBOM وتمكين العملاء من البحث عن العناصر وتحليلها بسهولة هنا.)

يعد SBOM عاملاً مخففًا مهمًا، خاصة في حالات الانتهاكات المحتملة. على سبيل المثال، في شهر مارس، تم اكتشاف ثغرة أمنية هائلة تسمى XZ Utils. هذا الباب الخلفي الخبيث، CVE-2024-3094، كان موجودًا في مكتبة البرامج XZ في بعض إصدارات Linux. في حالات محددة، يمكن للخصم استغلال XZ Utils وتجاوز المصادقة عن بعد للوصول إلى هذه الأنظمة التي تقوم بتشغيل Open SSH. ومن المفهوم أن العديد من العملاء كانوا قلقين بشأن سلامة أنظمتهم. نظرًا لأن Wiz4Wiz يحتوي على ميزة SBOM، فإنه ينشئ طبقة إضافية من الحماية يمكن لفريق Wiz GRC الوصول إليها بسهولة. يتيح ذلك للفريق أن يكون أكثر استباقية مع طلبات العملاء من خلال تجهيز الردود وتمكين العناصر في مركز توثيق Wiz. كما أنه يمكّن مهندسينا من تحديد ما إذا كان Wiz يستخدم البرنامج المتأثر بسهولة أكبر، وكيف – دون الحاجة إلى انتظار كل عميل أو طرف ثالث لتوضيح تبعياته ومكوناته.

باستخدام Wiz4Wiz، أصدر Wiz هذا الاستعلام الذي يمكّن العملاء من العثور على جميع مواردهم المتأثرة بالـ CVE-2024-3094. بهذه الطريقة، يمكن لكل عميل البحث بسرعة عن المثيلات الخاصة به دون الحاجة إلى القلق بشأن عنق الزجاجة. يمكنهم أن يعرفوا على الفور – ويخبروا Wiz – إذا كانت هناك مشكلة تحتاج إلى معالجة. تتم كتابة هذه الاستفسارات بسرعة بواسطة فريق أبحاث التهديدات في Wiz لأي خرق مشتبه به. يتيح لنا Wiz4Wiz SBOM العمل مع البائعين دون المخاطرة.

تتغير أطر الامتثال بمرور الوقت. علاوة على ذلك، تخلق اللوائح والتحولات التكنولوجية الجديدة حاجة إلى ضمان الحفاظ على تكوينات ومكونات السحابة وتكوينها بشكل آمن. كل تغيير له تأثير المصب. إنه يجعل الأمور صعبة، نظرا لتعقيد البيئة دون رؤية عالية المستوى.

مع نمو Wiz، نمت أيضًا الشهادات وعمليات تدقيق الامتثال. علاوة على ذلك، طلب العملاء تدقيق Wiz لأغراض العناية الواجبة الخاصة بهم. لحسن الحظ، تم تمكين فريق GRC من خلال سياسات التحكم داخل Wiz4Wiz، والتي سمحت للفريق بتوسيع نطاق الموارد إلى مناطق أو منتجات محددة وتشغيل مجموعة متنوعة من عناصر التحكم المختلفة. لقد تمكنوا من إظهار أن البنية التحتية كانت ملتزمة بأحدث تكوينات الأمان، وأن الحالة كانت حديثة، وأنه يمكن مشاركة الأدلة بسرعة مع مقيم العميل أو مدقق الأمان الخارجي.

يقدم Wiz العديد من الطرق لإظهار عناصر التحكم وتلبية أطر العمل مثل SOC 2 وPCI-DSS وNIST SP 800-53 Rev 5 وغيرها. إن منح المستخدم القدرة على إظهار كيفية تلبية الجوانب المختلفة للبنية التحتية للتحكم يمنح راحة البال الأمنية. كما أنها تعطي للمدقق أدلة دامغة توضح الضوابط المعمول بها. على سبيل المثال، يستخدم التحكم SOC 2 CC6.7-3 تقنيات التشفير أو قنوات الاتصال الآمنة لحماية البيانات. يتم عرضه عبر 21 سياسة مختلفة بين البيئات السحابية المختلفة. وهذا يشمل سياسات مثل يجب أن تستخدم خدمة التطبيقات الإصدار 1.2 من TLS أو أعلى و يجب أن يستخدم Network Load Balancer الإصدار 1.2 أو أعلى من TLS. بالإضافة إلى ذلك، عندما تتطلع Wiz إلى تنفيذ أطر عمل جديدة – سواء لمتطلبات العملاء أو التوسع في بلدان جديدة أو ترقية إطار عمل معين – يتيح Wiz4Wiz لفريق GRC إجراء تقييم سريع للفجوات. يتيح ذلك لـ Wiz مزيدًا من الرؤية والسرعة لتطبيق عناصر التحكم اللازمة داخل أنظمتنا والتأكد من أننا نلبي احتياجات العملاء.

شاركها.
اترك تعليقاً