Herausforderungen
Um seine Sicherheitsposition ohne ein engagiertes Sicherheitsteam aufrechtzuerhalten, benötigte die Monument Bank sofortige Sichtbarkeit dessen, was Entwickler in der Cloud bauten.
Die Monument Bank benötigte einen skalierbaren und effizienten Prozess für Entwicklungsteams, um Probleme schnell zu lösen.
Die Monument Bank wollte wiederholte Probleme in der Produktion identifizieren und nach links verschieben, um diese früher zu beheben.
Lösungen
Die Monument Bank hat einen einzigen Echtzeit-Blick über ihre gesamte AWS-Umgebung.
Entwicklerteams können Risiken in der Cloud schnell verstehen und beheben, indem sie Wizs aktionable und kontextbezogene Berichte verwenden.
Die Monument Bank behält ihre Sicherheit durch Designstrategie mit Wiz Wächtern bei, um wiederkehrende Probleme im Entwicklungsprozess zu vermeiden.
Vereinheitlichung interner Teams zur Sicherung der Cloud
Monument Bank bietet seinen Kunden professionelle Geschäftsleute, Unternehmer und Immobilieninvestoren eine digitale Banking-Plattform, die auf Cloud-Technologie aufbaut. Die Startup Neobank bietet eine Reihe von Spar- und Kreditprodukten, die fortgeschrittene In-App-Funktionen für Kundeninteraktionen nutzen. „Wir bringen führende, modulare Technologie in einer einzigartigen Konfiguration zusammen um das Premium-Bankgeschäft für den Massenreichtum neu zu definieren“, so Graham Law, Head of Cloud Ops.
Monument ist auch eine regulierte Bank. „Da draußen gibt es regulatorische Erwartungen, Kundenerwartungen und echte Bedrohungen“, sagt Gesetz. „Als Hüterin der Ersparnisse unserer Kunden müssen wir uns auf potenzielle Cyber-Angriffe vorbereiten.“
Zwei Jahre nach seiner Reise ist Monument zuversichtlich, dass seine Cloud-Infrastruktur sicher ist, obwohl es kein engagiertes Sicherheitsteam hat. Als Teil seiner Strategie zielt Monument darauf ab, sich durch Design zu sichern. „Wir haben das vom ersten Tag an mit unserer App gemacht, aber mit AWS gab es nichts, was wir anschließen und umsetzen konnten“, sagt Law.
Alles beginnt mit Sichtbarkeit
Als die Entwickler der Bank ihre Anwendung in der Cloud ausbauten, wollte das Sicherheitsteam sicherstellen, dass sie auf die höchsten Sicherheitsstandards aufgebaut wurde. „Wir wollten wissen, wie wir uns sicher sein konnten, wenn dieselben Entwickler auch die Leute waren, die die nativen Sicherheitswerkzeuge in AWS bauen und konfigurieren. sagt Gesetz.
Monument entwickelte eine moderne Cloud-native Software-Architektur, die eine Null-on-prem-Infrastruktur umfasste. Darüber hinaus ist ein großer Teil seines Ökosystems SaaS Driven. „Es ist's nicht nur ein Fall von einer Menge traditioneller On-prem-Infrastruktur, die's jetzt in der Cloud lauft“, sagt Law. „Es ist's viel modernere Dienste, Mikrodienste, eine Integrationsschicht zwischen APIs — es ist's eine andere Art von Sicherheitsherausforderung, und viele der traditionellen Ansätze sind't für diese Art von Umwelt konzipiert.“
Einfacher Einsatz, schnelle Ergebnisse
Monument hatte eine Wissenslücke, die es zu füllen brauchte. „Die Sicherheit ändert sich täglich. I don't have the time or knowledge to do my own Audits of AWS“, so Law. Anfangs versuchte das Team traditionellere Penetrationstest-Firmen, Bewertungen durchzuführen, aber sie brachten nicht genügend Renditen auf Investitionen. Monument erwägt sogar die Einstellung eines AWS Sicherheitstechnikers, aber das ist eine sehr kostspielige Ressource.
Nachdem sie andere Optionen erforscht hatten, haben sie einen Blick auf Wiz. „Ich wurde wirklich weggeblasen, weil es einfach war, Wiz, zu implementieren und wie schnell der Nutzen war, zu implementieren. an dem Punkt, an dem ich zum CTO gesagt habe, wenn du't kaufst, Ich beende, weil ich meine Arbeit't ohne sie erledigen kann.“ Law sagt: „Das war im Grunde 20 Minuten, nachdem wir den POV gestartet hatten.“
Die Stärke des Wiz POV war, dass er so schnell und einfach einzurichten ist. Es sollte kein dreimonatiger Prozess sein – wir waren an einem Nachmittag einsatzbereit.
Law sei durch die schnellen Vorteile der Implementierung ermutigt worden. „Innerhalb der ersten paar Stunden nach der Implementierung erkannte Wiz Sicherheitslücken und Probleme, die uns nicht bewusst waren, aber wir konnten sofort mit der Behebung dieser Probleme beginnen“, sagt Law.
Priorisierung leicht gemacht
Law verlasse sich darauf, dass Wiz toxische Kombinationen aufdeckt und kritische Risiken auflistet, damit sein Team die kritischen Probleme priorisieren könne, die behoben werden müssen. „Das Risk Scoring System von Wiz schafft umsetzbare Arbeit“, sagt Law.
Als Start-up können wir nicht jedes einzelne Problem sofort beheben, dazu haben wir nicht die nötige Kapazität. Wiz ermöglicht es uns, die Änderungen, die vorgenommen werden müssen, schnell zu priorisieren.
Das Wiz-Dashboard habe dem Team der Monument Bank zum ersten Mal einen vollständigen Überblick über seine Umgebung geboten. „Es war schon immer in AWS, aber wir konnten es nie sehen“, sagt Law. „Als wir versucht haben, uns mit dem Management abzustimmen und zu erklären, was Wiz uns mitteilt, war der Security Graph – und insbesondere die Visualisierung der Probleme – eine große Hilfe beim Verständnis des Problems und seines Ausmaßes.“
Monument operationalisiert Wiz durch die Integration mit Jira, um automatisch Tickets für kritische Risiken zu erstellen, sodass diese schnell und einfach von den Entwicklern behoben werden können. Zudem bietet Wiz umsetzbaren Kontext, damit Teams diese Probleme identifizieren, priorisieren und beheben können, je nachdem, was die größte Bedrohung für die Umgebung darstellt. „Es erspart uns die Erstellung der Tickets und gibt meinem Team die Möglichkeit, sich auf die kritischsten Probleme zu konzentrieren, die priorisiert werden müssen.“
Neben der Verschiebung nach links, um Probleme frühzeitig im Entwicklungsprozess zu beheben, und der Setzung von Guardrails, um die langfristige Konsistenz zu wahren, habe sich Monument auch an Wiz, gewandt um seinen Risikomanagementprozess zu überprüfen. „Wiz ermöglichte es uns, einen Patching-Prozess zu erstellen, der für alle unsere Container, Apps, Betriebssystempakete, AMI Patching und überall sonst funktionierte, wo er benötigt wurde. Es ging darum, den Prozess richtig zu gestalten und eine strategische Veränderung zu identifizieren, auch in der Art und Weise, wie wir unser Container-Management durchführen, um ein besseres und einfacheres Patchen zu ermöglichen.“
Ein anderer Sicherheitsansatz
Law und Team glaubten, dass sie die Dinge richtig machen würden, hatten aber keine Möglichkeit, dies zu beweisen. Wiz habe schnell die Sicherheit geliefert, die sie benötigten. „Offensichtlich haben wir einige Dinge gefunden, die geändert werden mussten. Wir haben also einen sehr schnellen Prozess durchlaufen, um zu verstehen, was richtig und was falsch ist, und behoben, was falsch war“, sagt Law. „Jetzt können wir versuchen, diesen Ansatz weiterzuentwickeln und ihn als langfristige, nachhaltige Möglichkeit zu verankern, Sicherheit in unsere Entwicklungs- und Standortprozesse zu integrieren.“
Law weist darauf hin, wie wichtig es sei, ein Tool zu verwenden, das es Entwicklern ermöglicht, sich maßgeblich an der Sicherheitsdiskussion zu beteiligen. „Wiz kann Ergebnisse hervorheben, bei denen sie nicht unbedingt verstehen, wo das Risiko liegt“, sagt Law. "Wiz leistet gute Arbeit, wenn es darum geht, auf verständliche Weise zu erklären, warum es etwas so bewertet, wie es es bewertet."
Für Law habe der größte Vorteil darin bestanden, dass man im Laufe der Zeit nicht mehr darüber gesprochen habe, warum etwas wirklich ein Risiko darstellt, sondern mit der Zeit verstanden habe, was diese Risiken sind, und erkannt habe, was priorisiert werden muss. „Die Sichtbarkeit, die durch den Wiz Security Graph erreicht wird, hilft dabei enorm. Der Fokus auf toxische Kombinationen und die dazugehörigen Beschreibungen sind für Personen, die nicht aus dem Sicherheitsbereich kommen, sehr gut lesbar und verdeutlichen, warum diese spezielle Kombination etwas ist, mit dem man sich befassen muss.“
Compliance sei eine weitere Herausforderung, die auf der zukünftigen Roadmap von Monument steht. „Wir implementieren einen ausgereiften Ansatz zur Bestimmung unseres realen Risikos und nicht irgendeine willkürliche Checkliste“, sagt Law. „Wir nehmen uns die Zeit, einen Blick auf die Compliance-Standards und das, was wir bereits haben, zu werfen und damit zu beginnen, den Grundstein zu legen, um unsere Umgebung in Compliance zu bringen. Die Vorab-Sichtbarkeit, die wir haben, ist unglaublich hilfreich, da sie einen Großteil der manuellen Arbeit aus diesem Prozess herausnehmen wird.“
Mit Wiz können wir uns die Ursache einiger unserer Probleme ansehen und erfahren, wie wir einige dieser Probleme schnell und relativ einfach beheben können. Vieles von dem, was wir gefunden haben, ist vermeidbar, solange es frühzeitig erkannt wird.
Für Monument übernehme Wiz die Rolle des Sicherheitsingenieurs und ermögliche es der Sicherheit und den Entwicklern, enger zusammenzuarbeiten, um grundlegende Änderungen zu identifizieren, die vorgenommen werden müssen. „Vielleicht brauchen wir eines Tages doch noch einen Sicherheitsingenieur. Aber da Wiz die eher manuellen Aufgaben automatisiert, können sie an erweiterten Funktionen arbeiten“, sagt Law.
Möchten Sie erfahren, wie Ihr Cloud-Sicherheitsprogramm die gleichen Ergebnisse erzielen kann wie die Monument Bank? Werfen Sie einen genaueren Blick auf Wiz' Cloud-Sicherheitslösungen für Finanzdienstleistungen.
