Monese erhält mit Wiz vollständige Transparenz in seiner AWS-Umgebung

Monese, ein rein mobiles App-basiertes Finanzdienstleistungsunternehmen, das Kunden in 31 Ländern in Großbritannien und Europa zur Verfügung steht, verbessert die Transparenz seiner AWS-Umgebung, priorisiert Sicherheitsaufgaben und nähert sich der PCI-Compliance.

Monese

Industrie

Finanzdienstleistungen

Region

Europa

Cloud-Plattformen

AWS
Bereit für den Start?
Demo anfordern

Challenge

  • Monese ist in einer stark regulierten Branche tätig und benötigte einen vollständigen Einblick in seine AWS-Umgebung.

  • Monese benötigte eine Lösung, die dem Sicherheitsteam helfen konnte, seine Sicherheitsaufgaben zu priorisieren und Fehlkonfigurationen anhand der Best Practices der Branche sichtbar zu machen. 

  • Monese war auf der Suche nach einem agentenlosen Tool, das verschiedenen Teams innerhalb des Unternehmens umfassende Informationen zur Sicherheitslage zur Verfügung stellen konnte, so dass man sich nicht mehr ausschließlich auf das Sicherheitsteam verlassen musste. 

Lösung

  • Monese erhielt einen vollständigen Überblick über seine AWS-Umgebung, so dass das Sicherheitsteam Schwachstellen finden, ihre genauen Standorte lokalisieren und sie den verantwortlichen Geschäftsinhabern zuweisen konnte.

  • Das kleine Sicherheitsteam von Monese war in der Lage, seine Aufgaben effektiv zu bewältigen, indem es Schwachstellen mit Hilfe der Wiz-Plattform identifizierte und verfolgte.

  • Monese war in der Lage, eine kollaborativere Sicherheitskultur zu schaffen, indem es einem breiteren Kreis von Benutzern (einschließlich Entwicklern und Produktleitern) ermöglichte, die Plattform zu nutzen, um Risiken zu verstehen und zu reduzieren – und sie proaktiv zu mindern, um das Unternehmen vor möglichen Ausfallzeiten zu schützen.

Vollständige Transparenz mit einem Tool für mehrere Teams

Monese ist ein Finanzdienstleistungsunternehmen für digitale Privatkunden, das reine Mobile-Konten in einer Auswahl von Ländern mit Währungen im gesamten Europäischen Wirtschaftsraum anbietet. Als Cloud-natives Unternehmen setzt sich Monese für starke Sicherheitsmaßnahmen ein, die'den Geschäftsbetrieb nicht behindern.  Aneel Sandhu, CISO bei Monese, sagt: "Unsere Sicherheitsstrategie wird jedes Jahr aktualisiert. Es gibt vier Säulen. Eine der wichtigsten Säulen ist die Fähigkeit, schnell zu sichern. Abgesehen davon ist es'Traditionellere Dinge wie die Sicherstellung, dass es'Transparenz für die Menschen auf allen Ebenen; das's von Leuten, die Entwickler sein können oder als Product Leads oder sogar im Vorstand arbeiten. Und dann in der Lage zu sein, sicherzustellen, dass wir'alle Vorschriften einhalten, die für uns oder unsere Kunden gelten." 
 
Monese fehlte es an vollständiger Transparenz in seiner AWS-Umgebung, was aufgrund seines kleinen Sicherheitsteams und der Schnelllebigkeit des Unternehmens besonders besorgniserregend war. Mit früheren Tools fehlte den Teams oft der Kontext zu Schwachstellen und sie waren nicht in der Lage, ihre Sicherheitsanforderungen effektiv zu priorisieren. Sandhu reflektiert: "Da das Unternehmen über eine komplexe Cloud-Umgebung verfügt, war unser Hauptproblem immer die Transparenz."  Da Monese Sicherheitsarbeiten delegieren musste, suchte es nach einem Tool, das den Mitgliedern verschiedener Teams die notwendigen Risikoinformationen zur Verfügung stellen konnte.  
 
Darüber hinaus ist Monese in einer stark regulierten Branche und Region tätig, so dass die Einhaltung von Vorschriften ein entscheidender Aspekt seiner Geschäftstätigkeit ist, insbesondere die Einhaltung von 27001 (Informationssicherheit) und die Vorschriften in ganz Europa. Monese brauchte eine Lösung, die ihnen helfen würde, die Einhaltung gesetzlicher Vorschriften zu erreichen und es ihnen zu ermöglichen, transparenter gegenüber ihren Kunden zu sein und ihr Geschäft zu verbessern. Sandhu merkt an, dass eine wichtige Säule des Sicherheitsprogramms von Monese darin besteht, sicherzustellen, dass das Unternehmen alle relevanten Vorschriften einhält, die für es oder seine Kunden in allen Ländern gelten.

Ziele setzen, um eine bessere Passform zu erreichen

Vor der Implementierung von Wiz war Sandhu auf manuelles Scripting angewiesen, um die Komponenten der Monese-Umgebung zu verstehen, was zeitaufwändig war und keinen umfassenden Überblick bot. Monese verwendete auch herkömmliche Sicherheitsscanner, die nicht für Cloud-native Umgebungen geeignet waren, und benötigte eine bessere Möglichkeit, die Risikominderung in seinem kleinen Sicherheitsteam zu teilen.

Ich brauche einen Blick darauf, wie unser Anwesen aussieht. Als CISO ist es'Es ist fast unmöglich, alle Komponenten zu verstehen, aus denen unsere Umwelt besteht. Wir waren nicht blind für Probleme, aber wir mussten viel Vertrauen in bestimmte Personen setzen, um den Überblick über die Sicherheitsergebnisse zu haben.

Monese wünschte sich eine Sicherheitslösung, die die vollständige Transparenz erhöht und die Bereitschaft zur Einhaltung gesetzlicher Vorschriften stärkt und gleichzeitig die Delegierung von Sicherheitsaufgaben erleichtert, wodurch die Abhängigkeit von ihrem kleinen Sicherheitsteam verringert wird. Ziel war es, eine Sicherheitspraxis mit weitreichenden positiven Auswirkungen auf das Unternehmen aufzubauen.

Die Suche nach einer umfassenden Cloud-Security-Plattform

Sandhu erinnert sich, dass sein Sicherheitsteam zunächst nach einem Schwachstellenscanner suchte, um den Anforderungen der Bankkunden und den regulatorischen Anforderungen gerecht zu werden. Aber: 

Als wir uns ansahen, welche Tools verfügbar waren, waren wir auf der Suche nach einem Schwachstellenscanner und stellten schnell fest, dass sie nicht für Cloud-native Umgebungen geeignet waren... Wir sind zu der Erkenntnis gekommen, dass AWS und andere CSPs eine Menge Daten generieren. Wir haben es getan'Sie benötigen keinen Schwachstellen-Scanner; Wir brauchten eine Lösung für das Management von Konfigurationsschwachstellen.

Nachdem sie ihre technologischen Anforderungen aufgeschlüsselt und einen RFP-Prozess (Request for Proposal) durchgeführt hatten, zogen sie einige Lösungen in Betracht. Sandhu erinnert sich, dass sie sich für Wiz entschieden haben, weil es in der Lage war, erhebliche Datenmengen zu erfassen und seinem Team eine sehr präzise Sicht zu bieten.

Mehr Transparenz und Priorisierung mit Wiz

Sandhus Team konnte problemlos mit Wiz beginnen. Er erinnert sich: "Wir konnten Wiz allein aufgrund der Cloud-nativen Konnektivität sehr schnell zum Laufen bringen." Während der Testphase von Monese mit Wiz zeigte die Log4j-Schwachstelle die Leistungsfähigkeit von Wiz's Fähigkeiten. Sandhu sagt, dass sie "besonderes Glück hatten, dass log4j während des Prozesses mit Wiz passierte. Wir waren nicht nur eingesteckt und betriebsbereit, sondern es gab uns auch ein sofortiges Verständnis dafür, wo wir Schwachstellen im Zusammenhang mit Log4j hatten… und das alles während des Evaluierungszeitraums."    

Monese implementierte Wiz schnell. Der Prozess war unkompliziert, da Wiz sich direkt mit der AWS-Umgebung von Monese verbindet und sofort Einblick in die Systeme bietet. Als nächstes konzentrierten sie sich darauf, potenzielle Schwachstellen frühzeitig zu identifizieren und zu entschärfen und potenzielle Ausfallzeiten zu verhindern. Sandhu merkt an: "Durch den Einsatz von Wiz in unseren Entwicklungspipelines sind wir in der Lage, Dinge aufzugreifen, Code-Reviews durchzuführen und Bibliotheken von Drittanbietern zu verstehen." Dadurch wird Monese eingerichtet's Entwickler, um Probleme während der Entwicklung zu identifizieren und zu lösen, anstatt erst am Ende des Prozesses. Sandhu fügt hinzu: "Wiz prüft nicht nur, was's läuft in der Cloud; Es hat auch einen Blick auf alles, was'Es wird am Ende in unsere Produktionsumgebung gedrängt werden." 

Verantwortung teilen, nach links rücken

Sandhu reflektiert auch, dass es mit Wiz einfach ist, Produktleitern eine Live-Ansicht der Schwachstellen zu bieten, die ihnen zugewiesen sind, und wie alt diese Schwachstellen sind. "Das gibt der Priorisierung von Sicherheitsfixes viel mehr Zugkraft", sagt er. "Da die Arbeit der Entwickler von den Anforderungen bestimmt wird, die ein Produktleiter oder Projektmanager an sie stellt, können jetzt Schwachstellen den Produktleitern zugewiesen werden." Dies hat Monese geholfen, die Sicherheitsarbeit an mehr Teammitglieder zu delegieren und so die Verantwortlichkeit zu erhöhen. 

Mit Wiz, das die Möglichkeit bietet, Geschäftsinhabern Schwachstellen zuzuweisen und die Arbeit zur Risikominderung zu teilen, kann Monese Sicherheitskorrekturen effektiver verfolgen und priorisieren. 

Wiz ermöglichte es uns, genau zu bestimmen, wo wir Probleme hatten. Wenn wir versucht hätten, ohne Wiz herauszufinden, was von log4J betroffen ist, hätten wir mindestens sieben oder acht Tage gebraucht, um überall zu lokalisieren, wo wir etwas beheben mussten. Wiz ermöglichte es uns, diese Bereiche sofort zu lokalisieren.

Steigerung der Agilität und Beschleunigung von Bereitstellungen

Monese hat auch den großen Nutzen einer reiferen und effektiveren Entwicklungsorganisation erkannt. Die Entwicklungs- und Sicherheitsteams können zusammenarbeiten und schneller zusammenarbeiten, um Sicherheitsprobleme zu lösen. Dies verbessert nicht nur die Sicherheitslage, sondern fördert auch die Zusammenarbeit im gesamten Unternehmen. Dies sorgt für eine agilere Zusammenarbeit in den Bereichen Entwicklung und Sicherheit, beschleunigt die Bereitstellung und ermöglicht es Entwicklern, ihre beste Arbeit zu leisten. 

Manchmal ist es'Es geht nicht nur darum, sagen zu können: "Es gibt'ist ein Problem; Geh und kümmere dich darum.' Was ist das'Es hat uns ermöglicht, ein sehr klares Verständnis davon zu haben, was dieses Problem ist und wie wir vorgehen können, um die Dinge zu beheben. Wiz hat uns also geholfen, eine Menge Arbeit anzustoßen und gleichzeitig unsere Entwicklung als Ganzes zu reifen, einfach weil dieses Verständnis für grundlegende Probleme es uns ermöglicht, viel mehr zu entwickeln. Dieses Verständnis hilft uns, unsere Sicherheitspraktiken voranzutreiben.

Compliance-Anforderungen mit Leichtigkeit erfüllen

Wiz unterstützte die Lückenanalyse von Monese, und diese Fähigkeit, Compliance-Lücken zu bewerten und zu schließen, ist ein wichtiger Aspekt der Compliance-Strategie von Monese. Wiz half Monese auch dabei, Kunden- und regulatorische Anforderungen effektiver zu erfüllen – und den Compliance-Status mit automatisierten Nachweisen zu dokumentieren, die mit verschiedenen Partnern geteilt werden können.

Wiz ermöglichte es uns, den Prüfern, Kunden und Investoren solide Beweise zu liefern und zu beweisen, dass wir tatsächlich so gut sind, wie wir sagen. Wir können zeigen, dass wir die Anforderungen rund um die Sicherheit erfüllen.

Vorwärts gehen, immer lernen

Über seine Position als CISO und die Sicherheitspraktiken im Allgemeinen betont Sandhu: "Ich lerne jeden Tag etwas Neues. Ich muss verstehen, was das Unternehmen tut und wie es Schritte unternimmt, um Sicherheit anzuwenden. Ich muss verstehen, wie Technologie funktioniert, um sicherzustellen, dass sie'Es ist ausreichend gesichert, also muss ich immer lernen." 

Mit der erfolgreichen Implementierung von Wiz plant Monese für eine Zukunft, in der Sicherheit in jeden Aspekt ihrer Geschäftsabläufe integriert und optimiert wird. Verbesserte Transparenz, Schwachstellenmanagement und Compliance-Berichterstattung werden Monese auch bei der Weiterentwicklung zugute kommen. Sie können Wirtschaftsprüfern, Regulierungsbehörden, Kunden und Investoren jetzt mit Zuversicht zeigen, dass sie die Sicherheitsanforderungen erfüllen, was in jeder stark regulierten Branche von entscheidender Bedeutung ist.  Und mit agileren, gemeinsamen Sicherheitspraktiken und einer besseren Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams kann Monese mehr Zeit und Mühe darauf konzentrieren, seinen Kunden erstklassige Bankdienstleistungen zu bieten.

Eine personalisierte Demo anfordern

Bist du bereit, Wiz in Aktion zu sehen?

“Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads.”
David EstlickCISO
“Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.”
Adam FletcherSicherheitsbeauftragter
“Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.”
Greg PoniatowskiLeiterin Bedrohungs- und Schwachstellenmanagement