Challenge
Die Sicherheits- und DevOps-Teams von Fiverr fanden es schwierig, effektiv an Sicherheitszielen zusammenzuarbeiten.
Fiverr wusste, dass es Sicherheits-Workflows einrichten musste, die die Arbeit des Unternehmens unterstützen und nicht stören.
Fiverr musste eine gemeinsame Sprache für das Sicherheitsteam einführen, um anderen Stakeholdern im Unternehmen Bericht zu erstatten.
Lösung
Durch die Festlegung klarer, messbarer Sicherheitsziele hat Fiverr eine gemeinsame, vertrauenswürdige Sprache für die Diskussion von Sicherheitsanforderungen geschaffen.
Das Sicherheitsteam von Fiverr hat Wiz mit seinen DevOps-Projektmanagement-Tools verbunden, um neue Sicherheitserkenntnisse zu senden und Entwicklern bei der Priorisierung von Risiken zu helfen.
Mit den Dashboards von Wiz kann das Sicherheitsteam von Fiverr auf einfache Weise aktuelle Informationen erfassen und sowohl mit Mitarbeitern als auch mit dem Management teilen.
Sicherheit vereinen, um kritische Schwachstellen zu beseitigen
Fiverr wurde gegründet, um Menschen die Möglichkeit zu geben, digitale Dienstleistungen auf die gleiche Weise zu kaufen und zu verkaufen, wie sie physische Güter kaufen können, und seine treibende Mission ist es, die Art und Weise zu verändern, wie die Welt zusammenarbeitet. Als Idan Pinto, DevSecOps Engineer bei Fiverr, zum Unternehmen kam, war Cloud-Sicherheit eine kollektive Verantwortung. Das bedeutete, dass die Produktteams ihre eigenen Schwachstellen verwalteten und die PCI-Konformität von einem anderen Team überwacht und verwaltet wurde. Tochtergesellschaften verwalteten ihre eigenen Risiken. Dieses System machte es für Fiverr schwierig zu verstehen, wer für die dazugehörigen Risiken verantwortlich war, insbesondere wenn es sich um veraltete Dienste und veraltete Tools handelte.
Es war ein langer Weg, diesen Prozess unternehmensweit zu ändern, aber jetzt wurden die Sicherheitsbemühungen von Fiverr und seine Cloud-Infrastruktur in AWS und GCP konsolidiert. Dazu gehören auch die Tochtergesellschaften von Fiverr, sodass das Team die volle Kontrolle über die Sicherheitslage des Unternehmens hat. Die Verbindung aller Sicherheitsinformationen des Unternehmens mit Wiz und anderen Sicherheitstools förderte einige kritische Schwachstellen im gesamten Unternehmen zutage.
Nachdem das Sicherheitsmanagement konsolidiert war, machte sich das Sicherheitsteam von Fiverr daran, Schwachstellen im gesamten Unternehmen zu finden und zu beheben. Diese Informationen halfen dem Team, seine Behebungsbemühungen zu operationalisieren, indem es Sicherheitsüberwachungs- und Erkennungsprozesse in den bestehenden Arbeitslebenszyklus des DevOps-Teams integrierte. „Im nächsten Schritt ging es für uns darum, alle unsere Untersuchungsergebnisse mit der Geschäftsleitung zu teilen und diese Informationen dann in die täglichen DevOps-Workflows einzubringen, ohne ihre Arbeitsweise zu ändern“, so Pinto. Durch die Zusammenarbeit in wöchentlichen Meetings und die Integration ihrer Sicherheitsmanagement-Tools waren sie in der Lage, ihre wichtigsten Risiken zu behandeln und kritische Schwachstellen auf Null zu reduzieren.
Wir haben unseren Schwachstellenmanagementprozess konsolidiert, indem wir unsere anderen Tools mit Wiz kombiniert haben. Jetzt können wir alle unsere Ergebnisse zusammenfassen und den richtigen Besitzer schnell informieren.
Aufbau von unternehmensweitem Vertrauen mit Wiz, um eine gemeinsame Sicherheitssprache zu schaffen
Eine der größten Herausforderungen bei der Umsetzung von unternehmensweiten Veränderungen besteht darin, den Menschen verständlich zu machen, warum diese so wichtig sind. „Wir mussten unseren Geschäftspartnern zeigen, dass Sicherheit ein Wegbereiter und kein Hindernis für das Unternehmen ist“, so Pinto. Dieser Prozess umfasste monatelange Treffen mit Stakeholdern, um die bestehende Cloud-Infrastruktur von Fiverr mit der Version zu vergleichen, die sich das Sicherheitsteam erhofft hatte – ein System ohne kritische Schwachstellen in nur sechs Monaten.
Das Sicherheitsteam nutzte Wiz, um die Risiken aufzuzeigen, die sich auf das Unternehmen auswirken, und informierte andere Teams über die potenziellen Kosten für das Unternehmen, wenn diese Risiken nicht behoben würden. Ihre wöchentlichen Treffen halfen dem Sicherheitsteam dabei, herauszufinden, welche Risiken Fiverr eingehen konnte und welche dringend angegangen werden mussten. „Unser Ansatz bestand darin, Vertrauen zu unseren DevOps-Partnern aufzubauen“, so Pinto. „Und zu Wiz müssen wir nicht viel sagen. Sie können genau sehen und verstehen, was wir sehen, sodass wir auf derselben Seite stehen können.“
Da Wiz uns eine gemeinsame Sprache bietet, kann ich in wöchentlichen Meetings mit unserem DevOps-Team zusammenarbeiten, damit wir alle genau verstehen, welche Schritte bei einem Problem unternommen werden müssen. Das könnte eine Problembehebung sein. Es könnte aber auch sein, dass man ein gewisses Risiko in Kauf nimmt. Wichtig ist, dass wir die Möglichkeit haben, darüber zu sprechen.
Sicherheits- und DevOps-Mitarbeiter arbeiteten in diesen Meetings zusammen, um automatisierte Workflows zu erstellen, um Risiken zu finden und zu beheben, ohne andere wertvolle Entwicklungsprojekte zu unterbrechen. Durch die Verbindung von Wiz mit den Projektmanagement- und Kommunikationstools von Fiverr – Monday.com, JIRA und Slack – werden nun Schwachstellen gefunden und an einem Ort konsolidiert und zusammengefasst. Nachdem das Sicherheitsteam die Ergebnisse überprüft hat, werden die Tickets automatisch geöffnet. „Unsere DevOps-Teams sind teilweise für unsere größten Probleme verantwortlich“, so Pinto. „Durch die Verbindung unserer Plattformen mit Wiz können wir automatisch JIRA- oder Monday-Tickets erstellen, um sicherzustellen, dass das Team sie sieht, damit Schwachstellen schnell behoben werden.“
Da neue Erkenntnisse in jeden Entwicklungssprint einfließen, ist Fiverr in der Lage, mit potenziellen Risiken Schritt zu halten, sobald sie gefunden werden, und die Behebungsmaßnahmen werden direkt neben den täglichen DevOps-Aufgaben integriert. Das Sicherheitsteam kann dann ganz einfach Daten aus Wiz exportieren und den DevOps-Führungskräften während der wöchentlichen Besprechungen über den Fortschritt berichten, damit das Team weiter iterieren kann. „Schritte zur Verbesserung unserer Sicherheitslage zu unternehmen, ist eine Teamleistung“, fügte Pinto hinzu. „In der Lage zu sein, allen zu erklären, was wir erreicht haben und was wir noch erreichen können, hilft den Menschen, meine Agenda zu verstehen und unsere Infrastruktur sicher zu halten.“
Fiverr beschleunigt die Entwicklung von Features, indem es „null kritische Schwachstellen“ erreicht
Der Schlüssel zum Sicherheitserfolg von Fiverr war der Fokus auf die Verbesserung der Teambeziehungen. Sicherheit und DevOps sind in der Lage, effizient zu kommunizieren und darauf zu vertrauen, dass jedes Team auf die gleichen Ziele hinarbeitet. „Wir haben Vertrauen in unsere Teams und in Wiz aufgebaut“, sagte Pinto. „Wir waren so zufrieden mit dem Support und der Reaktionsfähigkeit des Wiz-Teams, und alle zusammen haben wir ein System entworfen, eine massive Änderung an unserem Architekturdesign vorgenommen, und jetzt haben wir keine kritischen Schwachstellen mehr.“
Wiz hilft DevOps-Teams auch, Zeit zu sparen, indem es von skriptbasierten Scans auf APIs umsteigt. Die Möglichkeit, Informationen ohne zusätzliche Ressourcen teamübergreifend anzuzeigen und zu teilen, eröffnet neue Möglichkeiten, um gemeinsam schneller auf wichtige Erkenntnisse zu reagieren. „Es ist hilfreich zu sehen, dass wir Entwicklungszeit sparen und nützliche Informationen sofort exportieren können“, so Pinto. „Das bedeutet auch, dass sich unsere Teams auf die Entwicklung neuer Funktionen konzentrieren können.“ Durch die weitere Integration neuer Funktionen in Workflows und zusätzliche Plattformen wie GitHub zur eindeutigeren Identifizierung von Projektverantwortlichen kann das Team schneller wachsen und seine Sicherheitslage weiter stärken.
Normalerweise ist es für ein Sicherheitsteam am schwierigsten, all unsere Erkenntnisse herzunehmen und die richtige zu wählen, auf die man sich konzentrieren sollte. Wiz gibt uns die Möglichkeit, die kritischsten Schwachstellen in unserer Infrastruktur zu finden, um sicherzustellen, dass wir die Probleme lösen, die die größten Auswirkungen haben werden.
Fiverr richtet den Blick nach vorne mit mehr Automatisierung
Ausgestattet mit einem wachsenden Toolkit und einem kollaborativeren Team hat Fiverr das Ziel des Sicherheitsteams von null kritischen Schwachstellen erreicht, aber ihr Engagement für Cloud-Sicherheit endet hier nicht. Da das Unternehmen weiterhin Probleme mit hoher Priorität beseitigen möchte, sobald sie auftreten, sieht es eine neue Möglichkeit, sich auf die Laufzeit und Schwachstellen im Code des Unternehmens zu konzentrieren. Dazu gehört das Scannen und Beheben innerhalb der CI/CD-Pipeline des Unternehmens. „Um an diesen Punkt zu gelangen, brauchte es Monate des Veränderungsmanagements und der Teamarbeit, aber jetzt arbeiten wir alle zusammen auf die gleichen Ziele hin, und das ist ein Gewinn für alle“, sagte Pinto.
