Cloud-Sicherheitsstatusmanagement für SaaS-Plattformen
Ein Cloud-natives SaaS-Unternehmen, das ausschließlich auf AWS basierte, war rasant gewachsen, ohne jedoch für eine durchgängige Sicherheitsstrategie zu sorgen. Ein Penetrationstest durch einen externen Dienstleister deckte 47 Fehlkonfigurationen auf, darunter öffentlich zugängliche S3-Buckets mit Kundendaten, was erhebliche Compliance- und Reputationsrisiken mit sich brachte.
Kunde
Confidential, Cloud SaaS Client
Industrie
SaaS- und Produkt-StartupsTeamleiter
Vivek Parmar
Datum
Q1 2023
Geschäftliche Herausforderung
Ein Cloud-natives SaaS-Unternehmen, das ausschließlich auf AWS basierte, war rasant gewachsen, ohne jedoch für eine durchgängige Sicherheitsstrategie zu sorgen. Ein Penetrationstest durch einen externen Dienstleister deckte 47 Fehlkonfigurationen auf, darunter öffentlich zugängliche S3-Buckets mit Kundendaten, was erhebliche Compliance- und Reputationsrisiken mit sich brachte.
Lösung & Ansatz
Phronex™ führte eine umfassende Behebung der Sicherheitslücken in der Cloud durch: Bereitstellung von AWS Security Hub, Prisma Cloud CSPM zur kontinuierlichen Erkennung von Fehlkonfigurationen, Terraform-basierte sichere Infrastrukturvorlagen, Sicherheitsgates für CI/CD-Pipelines und ein 90-tägiger Behebungsplan mit Risikopriorisierung.
Gelieferte Fähigkeiten
- AWS Security Hub-Bereitstellung und Alarmpriorisierung
- Prisma Cloud CSPM für die kontinuierliche Haltungsüberwachung
- Behebung aller 47 festgestellten Penetrationstests innerhalb von 90 Tagen
- Sichere Terraform-Infrastrukturvorlagen
- CI/CD-Sicherheitsmechanismen zur Verhinderung zukünftiger Fehlkonfigurationen
Geschäftsergebnisse
Alle 47 festgestellten Schwachstellen des Penetrationstests wurden innerhalb von 90 Tagen behoben, 23 kritische Schwachstellen sogar innerhalb der ersten zwei Wochen. Der Cloud-Sicherheitsstatus (CIS AWS Benchmark) verbesserte sich von 34 % auf 91 %. Ein nachfolgender unabhängiger Penetrationstest ergab keine kritischen oder schwerwiegenden Schwachstellen mehr.
0
Kritische/hohe Befunde beim anschließenden Penetrationstest
91%
CIS AWS Benchmark-Konformitätswert
90 days
Alle 47 Mängel wurden behoben
Verwandte Projekte
Cloud-Sicherheitsstatusmanagement für SaaS-Plattformen
Alle 47 festgestellten Schwachstellen des Penetrationstests wurden innerhalb von 90 Tagen behoben, 23 kritische Schwachstellen sogar innerhalb der ersten zwei Wochen. Der Cloud-Sicherheitsstatus (CIS AWS Benchmark) verbesserte sich von 34 % auf 91 %. Ein nachfolgender unabhängiger Penetrationstest ergab keine kritischen oder schwerwiegenden Schwachstellen mehr.
0
Kritische/hohe Befunde beim anschließenden Penetrationstest
91%
CIS AWS Benchmark-Konformitätswert
Datenschutz- und DSGVO-Prüfung für eine digitale Gesundheitsplattform
Die Prüfung deckte 34 Compliance-Lücken auf, von denen 8 ein kritisches Risiko für die Offenlegung von Gesundheitsdaten darstellten. Alle kritischen Lücken wurden innerhalb von 60 Tagen behoben. Die Plattform startete ihr EU-Compliance-Programm planmäßig, und es gingen in den ersten 12 Betriebsmonaten keine behördlichen Anfragen ein.
34
Compliance-Lücken identifiziert
60 days
Kritische Lücken behoben
Implementierung eines unternehmensweiten Security Operations Center (SOC)
Die mittlere Zeit bis zur Fehlerbehebung (MTTD) sank von Wochen auf unter vier Stunden, und die mittlere Reparaturzeit (MTTR) verbesserte sich bei Vorfällen der Stufe 1 auf unter zwei Stunden. Das Security Operations Center (SOC) erkannte und beseitigte in den ersten 90 Tagen drei aktive Bedrohungen. Die Bank bestand die nächste aufsichtsrechtliche Prüfung mit Lob für ihre Sicherheitsmaßnahmen.
<4h
Mittlere Erkennungszeit (MTTD)
<2h
Mittlere Reaktionszeit (MTTR)
Umfassender Penetrationstest für eine Fintech-Zahlungsplattform
Der Penetrationstest identifizierte 12 Schwachstellen (2 kritische, 5 schwerwiegende), die innerhalb von 3 Wochen behoben wurden. Nach erfolgreicher Behebung der Schwachstellen autorisierte der Bankpartner die API-Verbindung, sodass der Kunde planmäßig live gehen und ab dem ersten Tag täglich Transaktionen im Wert von 50 Crore ₹ verarbeiten konnte.
12
Feststellungen und Behebungen
3 weeks
Vollständige Sanierung abgeschlossen