Когда Агентство кибербезопасности и безопасности инфраструктуры (CISA) искало участников-основателей своей инициативы Secure by Design, Wiz имела честь поддержать ее в качестве первого члена. Нам всего четыре года, и мы извлекаем выгоду из отсутствия технического долга и динамичной культуры, основанной на вере в то, что безопасность и инновации должны масштабироваться вместе.
Как сказал директор по информационной безопасности Wiz Райан Казансян в своей заявление о поддержке«В основе Wiz лежит убеждение, что быстрое строительство не может осуществляться за счет безопасного строительства. Клиенты, которых мы все обслуживаем, не должны ожидать меньшего. Wiz надеется и дальше помогать нашим партнерам в CISA и за его пределами поднимать планку и повышать ожидания, когда это произойдет. чтобы обеспечить безопасность по замыслу».
В честь месяца осведомленности о кибербезопасности мы хотели бы поделиться обновленной информацией о том, как мы продвигаемся по выполнению обязательств, изложенных в Обещании Secure by Design. Совместное использование этих усилий — это еще один способ, которым мы надеемся расширить этот разговор и в конечном итоге создать более широкую экосистему, которая не только безопасна по своей конструкции, но и безопасна по умолчанию и по требованию.
Залоговое обязательство: Продукт должен поддерживать безопасную аутентификацию.
Wiz обеспечивает прозрачность облачных разрешений, которые требуются каждому компоненту продукта для работы со средами клиентов. Документация по продукту включает подробные объяснения каждого разрешения и причины его необходимости. Разработчики Wiz и члены группы безопасности продуктов гарантируют, что запрошенные разрешения используют минимум привилегий, необходимых для реализации каждой функции продукта.
Wiz поддерживает интеграцию любого приложения SSO, совместимого с SAML 2.0 (например, Okta, Microsoft Entra ID и Google Workspace), чтобы клиенты могли получить доступ к своим клиентам Wiz. Это предоставляется всем клиентам Wiz без дополнительной оплаты и не ограничивается определенными лицензиями или уровнями продукта.
Хотя большинство клиентов интегрируются со своей системой единого входа для управления доступом своих пользователей к Wiz, мы также применяем обязательную многофакторную аутентификацию для всех клиентов Wiz, которые решили разрешить прямую аутентификацию.
Wiz не использует пароли по умолчанию для доступа пользователей или служб к своим продуктам. Все учетные данные уникальны и предоставляются посредством защищенных потоков.
Для клиентов, которым необходимо подключить сторонние продукты к своему экземпляру Wiz или создать пользовательскую интеграцию с использованием API Wiz, Wiz предоставляет возможность безопасно создавать учетные записи служб (SA) и управлять ими. Wiz придерживался шаблонов безопасного проектирования для защиты учетных данных SA, включая использование потока токенов API для каждого запроса с кратковременными токенами, а также возможность обеспечивать детальные разрешения и настраиваемые даты истечения срока действия для настраиваемых SA интеграции.
Wiz предоставляет клиентам возможность применять дополнительные механизмы углубленной защиты для обеспечения безопасности аутентификации, включая включение ограничений по домену и IP-адресам для входа в систему, а также независимо настраиваемую продолжительность жизни сеанса и параметры времени ожидания бездействия.
Залоговое обязательство: Производитель программного обеспечения должен систематически устранять целые классы дефектов программного обеспечения в своих продуктах.
Продукты Wiz созданы с использованием языков, безопасных для памяти. Серверная часть Wiz реализована на Go, а датчик времени выполнения Wiz — на Rust. Это ограничивает уязвимость продукта к таким уязвимостям, как переполнение буфера.
Все веб- или программное взаимодействие с платформой Wiz SaaS происходит через аутентифицированную конечную точку GraphQL. API GraphQL строго типизирован и обеспечивает проверку схемы и входных данных перед обработкой кода. Конечная точка принимает только запросы POST, и каждый запрос должен включать подписанный файл cookie, привязанный к пользователю, для которого он был создан. Wiz дополнительно использует интерфейсные платформы, которые обеспечивают встроенную защиту от межсайтового скриптинга и аналогичных классов уязвимостей веб-приложений.
В рамках внутренних процессов реагирования на инциденты Wiz каждый раз, когда обнаруживается значительная уязвимость в компоненте продукта Wiz или инфраструктуре и службах, которые ее поддерживают, команда безопасности Wiz проводит анализ первопричин, определяет профилактические задачи для уменьшения или устранения вероятности подобных инцидентов. инцидентов в будущем и сотрудничает с командами Wiz Engineering для реализации этих улучшений. Инциденты проверяются руководством по безопасности и продуктам не реже одного раза в квартал для поддержания этих процессов и выявления тенденций.
Залоговое обязательство: Производители программного обеспечения должны предоставлять клиентам журналы безопасности базовой версии продукта.
Wiz предоставляет всем клиентам доступ к журналам аудита, в которых записываются подробные события, связанные с безопасностью, связанные с их экземпляром продукта, без каких-либо дополнительных затрат. Эти журналы хранятся и доступны на портале Wiz клиентов в течение 180 дней и могут быть отправлены в SIEM или хранилище данных для более долгосрочного хранения.
Чтобы обеспечить прозрачность и эффективное сотрудничество, Wiz предоставляет клиентам документированную модель общей ответственности, в которой разграничиваются обязанности Wiz и управляемых клиентом ведения журналов, мониторинга, реагирования на инциденты и других функций безопасности.
Залоговое обязательство: Производитель программного обеспечения должен хранить и передавать данные о происхождении сторонних зависимостей, а также иметь процессы, регулирующие использование и вклад в компоненты программного обеспечения с открытым исходным кодом.
Wiz проверяет безопасность сторонних компонентов и компонентов с открытым исходным кодом, которые она использует в своих продуктах, посредством сочетания технического и технологического контроля. Это включает в себя:
-
Автоматическое сканирование репозиториев системы контроля версий, внутри конвейера CI/CD и в производственных средах для выявления компонентов программного обеспечения, которые могут быть уязвимыми, с истекшим сроком службы или несанкционированными по иным причинам.
-
Сторонняя программа управления рисками, которая постоянно оценивает продукты и технологии, используемые для поддержки продуктов и бизнес-операций Wiz, на основе их классификации рисков.
-
Политики, процедуры и обучение для информирования разработчиков об утвержденных процессах использования сторонних компонентов программного обеспечения и компонентов с открытым исходным кодом.
-
Дополнительные механизмы управления и проверки, реализованные юридическими отделами и службами безопасности Wiz.
Wiz также предоставляет клиентам встроенные функции инвентаризации SBOM, которые отслеживают все компоненты программного обеспечения (с такими подробностями, как пакеты ОС, библиотеки кода, менеджеры пакетов, лицензирование и т. д.), а также ресурсы, на которых они были идентифицированы во всех подключенных облачных средах клиента. .
Залоговое обязательство: Производитель программного обеспечения должен демонстрировать прозрачность и своевременность отчетов об уязвимостях как для локальных, так и для облачных продуктов.
Будучи продуктом только SaaS, Wiz поддерживает политику управления уязвимостями, которая определяет соглашения об уровне обслуживания и процессы реагирования на типы уязвимостей в его платформе, которые могут повлиять на клиентов. Wiz обязуется соблюдать эти соглашения об уровне обслуживания в своих клиентских соглашениях и проходит сторонние и внутренние проверки, чтобы гарантировать, что ее программы операций по обеспечению безопасности соответствуют этим процессам и срокам. Как отмечалось ранее, Wiz также предоставляет клиентам модель общей ответственности, которая определяет обязательства Wiz и клиента по управлению уязвимостями в зависимости от вариантов развертывания продукта и используемых функций.
Wiz поддерживает Трастовый центр портал для своих клиентов, который обеспечивает самообслуживаемый доступ к политикам, процедурам, уведомлениям безопасности и сторонним отчетам об оценках (таким как аудиты программ безопасности, тесты на проникновение и связанные с ними артефакты). Wiz также поддерживает внешнюю программу вознаграждений за обнаружение ошибок, которая позволяет любому исследователю ответственно раскрывать уязвимости и определяет круг сайтов и типы проблем, которые имеют право и не имеют права на вознаграждение. Наконец, Wiz регулярно предоставляет клиентам подробную информацию об исправленных уязвимостях в своих примечаниях к выпуску.
