保险业的创新者 Lemonade 通过 Orca Security 实现了从 0% 到 100% 的云端可视性

Lemonade 正在彻底改变保险市场

Lemonade 在美国和欧洲提供保险服务。 它属于“保险技术”市场的一部分,让保险供应商利用先进技术提供传统公司无法企及的创新产品和服务。

作为一家较为年轻的公司,Lemonade 拥有 cloudnative 技术栈使它可以 100% 在线运行。 这使 Lemonade 成为保险市场上一个灵活的竞争对手。 比如说,Lemonade 可以通过 AI 机器人以网络和移动应用程序的形式提供保单报价。 同时,Lemonade 是一家 A 级、全面受规管的公司,并由保险业最受信任的保险公司再保险。

首席信息安全官以之前的 Orca 使用经验指引道路

Lemonade 的基础架构完全在 AWS 云中,因此要实时了解漏洞和安全风险是一项挑战。 甚至是 Amazon 的原生工具也不能提供安全和开发维护专业人员所需的所有信息。

乔纳森·贾菲于 2020 年加入 Lemonade 作为其首席信息安全官。 他立刻着手寻求整个云资产的可见性,来更好地为安全风险作评估。 “当我加入的时候,我们没有一个合适的解决方案来检查漏洞,”他说。 “我很想我们在云漏洞问题上有比当时更好的可视性。”

来源:facebook.com/Lemonade

Orca 打败了基于代理的竞争对手 Lacework 和 Palo Alto Prisma Cloud

“我们对 Orca Security、Palo Alto Prisma Cloud 和 Lacework 进行了评估,”贾菲说。 “我的上一家公司使用 Lacework 已有一年多。我在那里的最后四个月里,我们还曾用 PoC 运行 Orca,因此很容易拿 Orca 来作比较。而且,我们还对 Prisma Cloud 进行了广泛的评估。”

Lemonade 的评估团队必须依靠 Prisma Cloud 和 Lacework 的产品演示,尽管当时贾菲已经对 Orca 和 Lacework 非常熟悉。 “与 Orca 不同的是,其他的需要代理。DevOps 人员不是很愿意安装和维护代理。DevOps 人员还担心代理的性能可能会对我们的系统造成影响,尤其是在生产方面上。而而且根据我以前使用 Laceworks 的经验,我知道它会有因代理丢失而减少可视度的烦恼。”

“Orca 在半小时内就为 POC 完成了设置和全面部署。 启动和运行 Orca 完全轻而易举,”Jaffe 说。 “我们马上就看到了结果。不到 24 小时,我们就可以看到所有 AWS 账户中的所有资源和环境。此外,我们还可以快速、轻松地看到 Orca 发现到的问题,还好幸运的是,这些都是容易处理的小问题。”

“任何影响开发的事情都会不可避免地遇到阻力。但使用 Orca SideScanning 对系统的影响为零。它也很容易使用。”
乔纳森·贾菲

首席信息安全官(CISO)

安全问题的 100% 覆盖率和优先处理

贾菲想在安全解决方案中寻求几个重要功能。 “第一个是 100% 的覆盖率,这个是任何需要安装代理的工具都做不到的。我必须确保覆盖范围没有缺口。”

另一个必备功能是能够优先修复紧急的问题。“Lacework 提供了大量信息,但我们并没有从中找到用处;反而我们觉得它削弱了我们解决问题的能力。太多信息会淹没有价值的发现。此外,它没有以一种可行的方式对信息进行优先排序。在使用 Lacework 时,我们的安全分析师在分析应该解决哪些问题上花了大部分时间。当他完成了上一步并选择要解决的问题后,又会遇到下一个问题:这是真的入侵还是又一个误报呢?——这些都必须在他补救前得到解答。在使用 Orca 之前,我们会因为信息组织得太差而放弃去查看问题的解决办法。”

“Orca 则恰恰相反。利用统计提供的信息,我们可以按威胁类型、漏洞、帐户、受影响资源等进行分类显示。我们可以按类别查看前五项,例如被忽略的资源或漏洞等。这就把一个个问题细分成了我们可以逐一解决的小问题,不像许多其他产品那样让所有问题一涌而来。我们可以迅速解决紧急问题,推迟或完全忽略那些不太重要的问题。” 对于贾菲和他的团队来说,Orca 的数据看板提供了一种静心的效果,因为它不会提供过多的信息让人无从下手。 他说,“Orca 的真正价值在于覆盖庞大数量的云安全、通知我们存在漏洞以及用精简的方式通知真正威胁。”

“Orca 减轻了我们的头号痛点:与云相关的安全风险在哪里?在使用 Orca 之前,我们根本没有我需要的可见性。”
乔纳森·贾菲

首席信息安全官(CISO)

供审计的管理证据

由于总部设立于纽约,因此 Lemonade 的业务受到纽约州金融服务部(NYDFS)的规管。 此外,该公司还受各种欧盟法规的规管,并有自己的 SOC 2 审计。 Orca 的报告帮助贾菲为各种规管和审计提供了管理证据。 Orca 有助于减少我的审计工作;例如,我可以运行报告来显示我们一直采用最少权限控制,以及采用多重身份验证等。”

如果存在潜在的数据丢失问题或个人数据暴露于危险区域的话,Orca 也会提醒贾菲。 Lemonade 团队可以在审计报告显示这些问题之前就早早地进行纠正。 “Orca 在检测潜在的信用卡数据、电子邮件地址、身份证号码或其他国家身份证的暴露上表现非常出色,”贾菲说。 “这些是我们可以迅速优先解决的问题。”

风险项目已大幅减少

Lemonade 已经大幅度地减少了其风险数量。 “我们把这些减小成原来的六分之一,现在我们可以通过监控来控制它们,”贾菲说。 “Orca 给我们指点该解决的问题,和无需担心的问题。”

贾菲最喜欢 Orca 的地方在于它列出优先问题的方式。 “你可以按类别查看前五项,例如被忽略的资源或漏洞等。这就把一个个问题细分成了我们可以逐一解决的小问题,不像许多其他产品那样让所有问题一涌而来。”

他还很喜欢它的界面,说数据看板提供了一种静心的效果,因为它不会提供过多的信息让人无从着手。 他说,“Orca 的真正价值在于覆盖庞大数量的云安全、通知我们存在漏洞以及用精简的方式通知真正的威胁。”

“有了 Orca,我们的 AWS 配置就在掌控之中了。我们拥有超过 12,000 项资产。目前,此时此刻只有三项资产被列为优先修复的对象。这真是太棒了,尤其是当您考虑云环境的频繁变化的时候。”
乔纳森·贾菲

首席信息安全官(CISO)