Greenlight Guru ottimizza la sua conformità normativa su AWS con Lacework

Basato su Amazon Web Services (AWS), Greenlight Guru fornisce software di gestione della qualità come servizio (SaaS) per le aziende di dispositivi medici. Per mantenere standard di sicurezza elevati per i dati dei propri clienti e stare al passo con le normative in continua evoluzione nel settore dei dispositivi medici, Greenlight Guru ha scelto come partner AWS Lacework, una piattaforma di sicurezza basata sui dati basata sul cloud che automatizza la sicurezza su larga scala.

Con un piccolo team, un nuovo ciclo di finanziamenti iniziali e una base di clienti in rapida espansione, Greenlight Guru aveva bisogno di garantire che il suo sistema di sicurezza delle informazioni interno funzionasse in modo ottimale. Dopo aver valutato i sistemi esistenti di monitoraggio e gestione della rete e della sicurezza, l'azienda ha deciso che era giunto il momento di cercare una soluzione migliore. Questi sistemi consistevano principalmente in monitor di rete, log watcher e supporto di alcuni partner esterni e, sebbene efficaci, rischiavano di diventare sempre più inefficienti e difficili da mantenere e monitorare.

In qualità di azienda operante nel settore dei dispositivi medici, sono emerse ulteriori preoccupazioni circa il costante afflusso di nuovi requisiti da parte degli enti di standardizzazione e delle agenzie di regolamentazione, quindi Greenlight Guru ha deciso di rivolgersi al partner AWS Lacework.

Dopo un'implementazione fluida che non richiedeva alcuna configurazione, Greenlight Guru ha sostituito con successo le sue soluzioni di sicurezza multi-punto con un'unica piattaforma per la sicurezza e la conformità del cloud tra account, carichi di lavoro, container e ambienti AWS. Greenlight Guru può gestire meglio i rischi derivanti da vulnerabilità e configurazioni errate grazie al monitoraggio continuo dell'attività degli account cloud e il comportamento dei carichi di lavoro. Questo potente monitoraggio si estende dalla build al runtime, consentendo una risposta, il contenimento e l'indagine più rapidi agli incidenti. Con Lacework, Greenlight Guru dispone di informazioni utili sulle minacce che identificano le attività dannose e mitigano i rischi man mano che vengono introdotte nel suo ambiente.

David Odmark, responsabile della sicurezza di Greenlight Guru, spiega il processo di transizione ai servizi e alle soluzioni Lacework su AWS: "Il nostro passaggio a Lacework è stato semplicissimo. Lacework prometteva zero configurazioni ed è stato veramente così. Per ogni anomalia riscontrata, abbiamo ricevuto un feedback immediato su cosa era andato storto e su come dovevamo affrontarlo".

Lacework è diventato essenziale per le operazioni e le prestazioni di Greenlight Guru dedicate ai clienti. L'azienda utilizza anche Amazon EventBridge e l'infrastruttura come servizi di codice nelle sue pipeline.

Lacework su AWS ha fornito a Greenlight Guru un approccio alla gestione della sicurezza e della conformità efficiente, scalabile e che si integra perfettamente nei flussi di lavoro DevSecOps esistenti.

A causa della natura del suo settore, Greenlight Guru deve affrontare frequenti controlli del sito e deve soddisfare i più elevati standard di sicurezza e protezione dei dati dei clienti. Con il suo approccio completo alla sicurezza dei dati e alla prevenzione delle violazioni, Lacework ha rafforzato la tranquillità sia per il team di Greenlight Guru che per i suoi clienti. Con Lacework, Greenlight Guru può facilmente mostrare ai propri clienti le prove, consentendo loro di attenuare rapidamente le preoccupazioni e dimostrare efficacemente la presenza attiva di misure normative e protocolli di sicurezza per tutte le risorse dei clienti.

Lacework aiuta con gli audit fornendo facilmente una visione completa dell'ambiente di Greenlight Guru e mappando controlli specifici, come ISO 27001, ai controlli di sicurezza del cloud monitorati da Lacework. Il team di Greenlight Guru può eseguire report in qualsiasi momento, in diversi periodi di tempo, per verificare la conformità rispetto al proprio ambiente. Questo informa il team delle derive di conformità che devono essere riviste, esaminate e corrette. Greenlight Guru può prevenire i problemi e ridurre i tempi di raccolta delle prove prima che avvengano gli audit con una visione consolidata da un'unica piattaforma. La visibilità migliorata per Greenlight Guru è supportata anche con AWS CloudTrail.

Odmark spiega: "Lacework è stato creato pensando a un contesto normativo ed è una soluzione basata sui dati. Siamo in grado di mostrare ai clienti le nostre risposte agli eventi ambientali in tempo reale. È una parte estremamente importante del nostro toolkit per la sicurezza dei dati".

Lacework fornisce un monitoraggio continuo in tutto l'ambiente di Greenlight Guru in modo da poter rilevare e affrontare i rischi per la propria attività dalla fase di costruzione all'esecuzione. Questo aiuta il team di Greenlight Guru a rimanere attento alle attività anomale e a rispondere rapidamente agli eventi, senza richiedere un'eccessiva indagine manuale. "I nostri programmi di sicurezza richiedono misurazioni rispetto a una serie di sistemi di conformità, standard volontari e parametri di riferimento del settore. Lacework ci aiuta a gestire queste metriche in una posizione centrale, avvisandoci dei cambiamenti non appena si verificano", ha spiegato Odmark.

Greenlight Guru è dotato di un approccio alla sicurezza a più livelli che identifica gli attacchi sin dall'inizio e avvisa i membri del team giusti quando qualcosa non è conforme alle raccomandazioni contestuali per una risoluzione efficace.

Classificando gli eventi nell'ambiente Greenlight Guru come avvisi alti, medi o bassi, Polygraph® Data Platform di Lacework ottimizza il processo di gestione della sicurezza, consentendo un flusso di lavoro più efficiente e produttivo in tutta l'organizzazione. La piattaforma crea una conoscenza di base dell'ambiente unico di Greenlight Guru per determinare quale sia il comportamento normale in un dato momento in modo da poter rilevare le deviazioni, senza un elenco predefinito di regole, e inviare avvisi al team. Questi avvisi consentono a Greenlight Guru di vedere e comprendere i cambiamenti del cloud su larga scala. Greenlight Guru ha implementato politiche interne e attività di automazione relative a questi avvisi, il che aiuta anche a standardizzare i protocolli e le risposte di sicurezza del team.

Un team di tre persone di Greenlight Guru può gestire con successo le operazioni di sicurezza dell’azienda affrontando al contempo altre responsabilità.

"La piattaforma Lacework si occupa di tutti i carichi pesanti. Ciò significa che il nostro team può concentrarsi su altre attività importanti della nostra azienda e su altri aspetti della sicurezza. Questo è estremamente prezioso", afferma Odmark.