Challenge
Revolut wollte eine Lösung, die weniger, aber intelligentere Alarme bietet, um auf echte Probleme hinzuweisen, die sorgfältige Aufmerksamkeit erfordern.
Revolut musste eine kollaborative, flexible Partnerschaft zwischen Sicherheits- und Engineering-Teams schaffen.
Da sich ständig eine große Anzahl neuer Funktionen in der Produktion befindet, war eine intelligentere automatisierte Sichtbarkeit erforderlich, um bessere Basisrichtlinien einzuführen.
Lösung
Revolut nutzte Wiz, um die kritischsten Bedrohungen zu priorisieren und umsetzbaren Kontext bereitzustellen, der es Sicherheit und Entwicklern ermöglichte, ihre Zeit besser zu konzentrieren.
Revolut hat ein neues funktionsübergreifendes Komitee eingerichtet, um routinemäßig neue Sicherheitsfragen zu diskutieren, unterstützt durch Wiz-Dashboards und -Berichte.
Revolut führte benutzerdefinierte Kontrollen ein, die sich an den Sicherheitsrichtlinien orientieren, und integrierte Wiz mit Jira, um automatisierte Tickets zu erstellen, um identifizierte Schwachstellen schneller zu beheben.
Sicherung einer schnell wachsenden Finanz-App
Revolut hilft über 30 Millionen Kunden in 40 Ländern, Geld auszugeben, zu sparen und zu investieren, um eine bessere finanzielle Zukunft aufzubauen. Es ermöglicht Menschen, alle ihre Finanzaktivitäten von einer einzigen Plattform aus zu verwalten - vom Währungsumtausch bis hin zu Geldüberweisungen und Investitionen.
Das beschleunigte Wachstum hat dazu geführt, dass das Revolut-Team in acht Jahren von Hunderten auf Tausende von Mitarbeitern angewachsen ist, wobei fast 1.000 Ingenieure gleichzeitig an mehreren Projekten und Funktionsupdates arbeiten.
„Wenn man im Wesentlichen ein Unternehmen wird, muss man neue Arten von Prozessen etablieren“, sagt Uros Solar, Leiter der Security Operations und IT-Sicherheit bei Revolut. „Es bringt viele Veränderungen mit sich, vor allem in einem schnell wachsenden Umfeld, in dem ständig viele neue Funktionen hinzugefügt werden.“
Seit seiner Gründung arbeitet Revolut als stark Cloud-nativer Betrieb in Google Cloud mit einer kleinen Anzahl von internen Systemen, um bestimmte regulatorische Anforderungen zu erfüllen. Mit dem Fokus auf den Aufbau eines serverlosen und containerisierten Betriebs ist das Unternehmen jedoch darauf vorbereitet, neue Möglichkeiten zu nutzen, wenn sich die Kundenbedürfnisse ändern.
Störungen reduzieren, Reibung reduzieren
Das Revolut-Sicherheitsteam stellte fest, dass in seinen herkömmlichen Scansystemen einfach zu viele Störungen erzeugt wurden. Eine hohe Anzahl von Alarmen und Tickets verursachte zu viel manuelle Arbeit sowie unnötige Reibung zwischen Sicherheits- und Engineering-Teams.
„Es ist wichtig, dass Sicherheit zum Geschäft beiträgt und den Fortschritt nicht beeinträchtigt, aber Risiken und Nutzen angemessen ausbalanciert“, sagt Solar. „Es ist am besten, den Endnutzern zu sagen, was tatsächlich passiert und was die wirklichen Risiken sind, und dann zu sehen, wie wir sie in einer realen Umgebung mindern können.“
Dieses Bestreben, eine bessere Kommunikation aufzubauen, stand hinter der Suche von Revolut nach einer Lösung, die sowohl Sichtbarkeit als auch Kontext in die Umgebung bietet. Ein gezielterer Ansatz würde Revolut dabei helfen, eine Grundlage für iterative Gespräche zwischen Engineering- und Sicherheitsteams zu schaffen, um Schwachstellen und Risiken zu beheben.
Sicherheit ist wie das Immunsystem eines Unternehmens. Sie muss sich mit der Hauptfunktion des Organismus weiterentwickeln. Tut sie das nicht, wird sie bald für ihren eigenen Zweck obsolet.
Engagierte, aufschlussreiche Berichterstattung
Solar räumt ein, dass er sich „sofort in die Art und Weise verliebt hat, wie Probleme dargestellt werden“. Revolut stellte fest, dass Wiz einen unmittelbaren Wert lieferte. „Die Einfachheit der Integration war ziemlich hoch“, sagte Solar. „Ich hatte nicht erwartet, dass das Produkt schon bei der Integration einen hohen Wert hat. Das war eine angenehme Überraschung.“
Über die bloßen Alarme hinaus schätzte Revolut, dass Wiz nicht nur Probleme aufzeigte, sondern auch Empfehlungen gab, wie ein Problem gelöst werden könnte.
„Wiz gibt uns die Möglichkeit, Probleme auf ansprechende und sehr interessante Weise für das gesamte Unternehmen darzustellen“, sagt Solar. „Wiz scheint ein Unternehmen wie unseres wirklich zu verstehen und gibt sofort eine Menge an Übersicht, indem es jemanden anleitet, tiefer in ein Problem einzusteigen, um wirklich zu verstehen, was, wo, wann und wie es ausgenutzt werden kann.“
Revolut nutzt Wiz nun, um proaktiv potenzielle Schwachstellen und Fehlkonfigurationen zu identifizieren, die Compliance über PCI und SOC2 hinweg zu überwachen und kritische Exploits wie Malware zu erkennen. Das Sicherheitsteam hat auch benutzerdefinierte Kontrollen eingeführt, die auf die Sicherheitsrichtlinien abgestimmt sind und automatische Alarme direkt an die Ingenieure senden, um das Risiko zu mindern.
Während Revolut mit der Integration von Wiz in seine Prozesse erfolgreich war, drängte das Sicherheitsteam auch darauf, Fortschritte zu machen, um die allgemeine Sicherheitskultur des Unternehmens zu verbessern.
„Wir wollen nicht jede Entscheidung innerhalb der Sicherheit treffen“, sagt Solar. „Sicherheit berührt alles, aber wir wären niemals die Experten für alles. Wir müssen andere Meinungen hören und auch andere Inputs einholen, um zu entscheiden, ob ein bestimmtes potenzielles Problem als echtes Problem behandelt werden sollte oder nicht.“
Es geht immer darum, auf den Rhythmus des Unternehmens zu hören, flexibel zu sein, zu wissen, was vor sich geht und wie man Dinge erleichtert und ermöglicht. Wir müssen viel über viele Dinge wissen. Andernfalls können wir sie nicht sichern.
Zu diesem Zweck veranstaltet Revolut regelmäßige Treffen zwischen wichtigen Stakeholdern und Sicherheitsteams. „Wir wollen keine Tickets für Personen erstellen, ohne dass sie Teil der Konversation sind - sie werden von Anfang an in den Schwachstellenmanagementprozess einbezogen, bevor die Probleme überhaupt ein Ticket generieren“, sagt Solar.
Kontextbezogene Klarheit sorgt für eine schnellere Risikominderung
So konnte Wiz beispielsweise Dienstkonten mit dem zugrunde liegenden Datenzugriff verknüpfen, den sie ermöglichten, und so sicherstellen, dass relevante Probleme angemessen zugeordnet wurden, um genau zu ermitteln, welche Systeme und Datensätze gefährdet waren.
„Zu verstehen, wann ein bestimmtes Dienstkonto in der Lage ist, Assets über verschiedene Projekte oder Umgebungen hinweg anzusehen, hilft zu ermitteln, ob ein Konto möglicherweise über mehr Berechtigungen verfügt, als Sie erwarten würden, und wie das mit aktiven Bereitstellungen und Assets zusammenhängt“, sagt Solar. Durch die Hervorhebung dieser Probleme an einer Stelle konnten die Revolut-Teams sofort verstehen, wie sie die Berechtigungen auf die absolut notwendigen Funktionen reduzieren können.
Da Wiz solche Erkenntnisse automatisch liefert, sieht Solar eine erhebliche Reduzierung des Zeit- und Arbeitsaufwands für Sicherheitsforscher, die manuell Details von Ingenieuren darüber einholen müssen, wofür ein bestimmtes Konto verwendet wird, damit es ohne Verzögerung in die Abminderungsphase übergehen kann.
Das Einordnen von Problemen in einen Kontext zeigt, wie sie miteinander verkettet werden können, um ein großes Problem zu schaffen, aber es war immer problematisch, wenn sie unabhängig voneinander identifiziert wurden. Dass Wiz automatisch weiß, wie sich Probleme auf die zugrunde liegenden Assets beziehen, ist äußerst mächtig.
Für Revolut haben die Klarheit und der Fokus von Wiz die Bemühungen des Teams unterstützt, Vertrauen zwischen Sicherheits- und Engineering-Teams aufzubauen. Durch die Schaffung neuer funktionsübergreifender Komitees, die sich treffen, um Fortschritte bei Sicherheits- und Compliance-Kontrollen zu diskutieren, sieht Revolut sein Ziel erreicht, Sicherheit zu einem unterstützenden Wegbereiter für einen hervorragenden Kundenservice zu machen. Zudem ist Solar in der Lage, das Dashboard zu nutzen, um der technischen Leitung zu zeigen, in welchem Umfang Schwachstellen behoben werden. „Es ist wichtig, das, woran man arbeitet, im besten Licht zu präsentieren“, sagt Solar, „Wiz hilft uns dabei.“
Weniger fragen, mehr zuhören
Im Zuge der verstärkten Nutzung von Wiz im gesamten Unternehmen geht Revolut davon aus, dass es seinen Vorstoß fortsetzen wird, die Mitarbeiter in den Sicherheitsentscheidungsprozess einzubeziehen. „Wir wollen Input einholen, weil der Nutzer den Kontext oft besser versteht als wir“, sagt Solar. „Die meisten Ermittlungsarbeiten bestehen darin, die Mitarbeiter zu fragen, was sie über Ereignisse denken. Wir möchten die Notwendigkeit, selbst Fragen zu stellen, minimieren und größtenteils nur auf die Antworten hören, die durch einen besseren Prozess kommen. Es geht im Wesentlichen immer um den Kontext.“
Möchten Sie erfahren, wie Ihr Cloud-Sicherheitsprogramm die gleichen Ergebnisse erzielen kann wie Revolut? Werfen Sie einen genaueren Blick auf Wiz' Cloud-Sicherheitslösungen für Finanzdienstleistungen.
