Herausforderungen
Tide musste seine Fähigkeit verbessern, zu verfolgen, was in seinen mehreren containerisierten AWS-Konten bereitgestellt wurde, und veraltete Ressourcen zu bereinigen, die nicht mehr benötigt wurden.
Als Tide seine Cloud-Infrastruktur weiter ausbaute, wurden Probleme in der Produktion entdeckt, die man hätte beheben können, bevor sie ihren Weg in die Produktionsumgebung fanden.
Tide nutzte ein CSPM-Tool, das endlose Alarme erzeugte, aber nur wenige waren für den Betrieb der Infrastruktur von Tide relevant.
Lösungen
Tide gewann einen breiteren Überblick über die Vorgänge in seinen Containern und legte veraltete Systeme still, die Geld kosteten und anfällig für externe Bedrohungen waren.
Von der Quelle bis zur Produktion hat Tide Guardrails automatisiert, um Entwickler frühzeitig auf Probleme aufmerksam zu machen und diese zu beheben, bevor sie sich auf die Produktionsabläufe auswirken.
Tide war in der Lage, die Anzahl der Fehlalarme zu reduzieren und die größten Probleme zu priorisieren, indem es umsetzbare, kontextualisierte Erkenntnisse von Wiz nutzte.
Kleines Unternehmen, große Sicherheit
Tide ist der führende Herausforderer im digitalen Business-Banking im Vereinigten Königreich, der Finanzdienstleistungen für Kleinst-, Klein- und Mittelunternehmen anbietet, und eines der am schnellsten wachsenden Fintechs weltweit. Seit 2015 hat das Unternehmen über 500.000 kleinen und mittleren Unternehmen den sofortigen Zugang zu Finanztools wie Gehaltsabrechnung, automatisierter Buchhaltung, Rechnungsstellung, Rechnungsfinanzierung und mehr ermöglicht. Seit Mai 2023 hält das Unternehmen mehr als 9 % des Marktanteils im Vereinigten Königreich. In einem solchen Umfeld erkennen der Chief Information Security Officer bei Tide, Ben Dewar-Powell, und sein Team die enorme Bedeutung einer schnellen, stabilen und sicheren Plattform für alle Mitarbeiter von Tide.
Für das Produkt- und Plattformsicherheitsteam unter der Leitung von Ashleigh Vincent ist es von grundlegender Bedeutung, sicherzustellen, dass Entwickler sicheres Design von der Projektkonzeption bis zur Implementierung integrieren. „Es geht darum, die Entwickler zu unterstützen und zu befähigen“, sagt Vincent. „Wir vermeiden es, eine Blockade und das Sicherheitsteam des ‚Neins‘ zu sein. Stattdessen konzentrieren wir uns darauf, nützliches Feedback zu geben, damit die Entwickler verstehen, was ausgelöst wurde, was ausgelöst wird und wie man es beheben oder vermeiden kann.“
Risikominderung über Container hinweg
Tide wird auf AWS gehostet und betreibt eine moderne, containerisierte Cloud, die mehr Agilität rund um Anwendungen und Kostenstruktur bringt und gleichzeitig natürliche Herausforderungen mit sich bringt. Die Umgebung besteht aus regulatorischen, regionalen und betrieblichen Gründen aus verschiedenen AWS-Konten. Es ist wichtig zu verstehen, wo sich Schwachstellen in einem bestimmten Container befinden, um gezielt darauf reagieren und Probleme schnell beheben zu können. „Sie brauchen Sichtbarkeit und müssen verstehen, was in Ihrer Cloud bereitgestellt wird, anstatt alte serverbasierte Sicherheitsparadigmen anzuwenden“, sagt Vincent. Vor Wiz nutzte Tide In-Pipeline-Container-Scannen, bei dem ein Container erstellt und gescannt und auf Schwachstellen aufmerksam gemacht wurde und diese schließlich selektiert wurden. „Dieser Ansatz sagt Ihnen nicht unbedingt, ob dieser Container irgendwo ausgeführt wird“, fügt Vincent hinzu.
Um sich ein vollständiges Bild von der Cloud-Infrastruktur von Tide zu machen, mussten die Systeme zunächst manuell überprüft werden, bevor eine Reihe verschiedener Open-Source- und kommerzieller Tools ausprobiert wurden. Aber sie erzeugten nur eine Menge Störungen und Erkenntnisse, die eine sorgfältige Untersuchung erforderten, um herauszufinden, was für Tide entscheidend war. „Die Tools warnen vor etwas, das von vornherein integriert ist und kein Problem darstellt“, erinnert sich Vincent. Dies führte zu einer inakzeptablen Belastung des Sicherheitsteams von Tide.
Es geht darum, herauszufinden, wie man das, was einem wirklich wichtig ist, anpassen kann. Wenn Sie in einem Unternehmen mit vielen Ingenieuren für ein schlankes Sicherheitsteam verantwortlich sind, ist es wichtig, dieses zu integrieren.
Entwickler befähigen, indem Sie ein vertrauenswürdiger Berater werden
Vincent vermittelt eine sicherheitsorientierte Denkweise, ohne den Ingenieuren zu sagen, was sie besser machen können. „Der heilige Gral besteht darin, so viel manuelle Arbeit wie möglich zu automatisieren. Wir wollen den Weg zum Erfolg ebnen und Ingenieuren die Freiheit geben, innovativ zu sein.“
Entwickler benötigten frühzeitigere Alarme, dass ihr Code, wenn er bereitgestellt wird, zu Problemen führen könnte. Und es war eine Herausforderung, sie dazu zu bringen, sich regelmäßig mit einem Cloud-Sicherheitstool zu beschäftigen. Es lag außerhalb ihres täglichen Arbeitsablaufs und verursachte mehr Aufgaben. Wiz könnte in Ticketsysteme integriert werden und ein Techniker könnte ein Problem erkennen, ein Ticket erstellen und den Produktverantwortlichen über die Änderungen informieren. „Wir wollen zu einem Modell übergehen, bei dem wir frühzeitig informiert werden, wenn etwas nicht stimmt, und wir daraus Veränderungen herbeiführen können“, bemerkt Vincent.
Wiz nimmt Ihnen die Mühe und das Nachdenken ab. Sie verbinden es mit Ihren Konten und können die 10 wichtigsten Cloud-Probleme sehen, über die Sie sich Sorgen machen müssen.
Eine maßgeschneiderte und automatisierte Lösung
Tide erkannte den Wert der Konsolidierung mehrerer Tools in einer einzigen Lösung, um eine vollständige Sichtbarkeit über seine containerisierten Umgebungen hinweg zu erhalten. Auf diese Weise konnte das Unternehmen Zeit sparen und die Verwaltung mehrerer Systeme zur Behebung von Problemen vermeiden. Mit einem umfassenden Überblick über ihre Cloud-Umgebung konnten Sicherheit und Entwickler nun besser verstehen, worauf sie sich konzentrieren mussten.
Tide schuf Sicherheits-Guardrails, anhand derer Ingenieure mit Wiz arbeiten konnten. Und mit der Ticketintegration konnten Probleme mit weniger Reibungsverlusten gelöst werden. „Mit der Möglichkeit, ein einziges Tool zu verwenden, konnte ich die gleiche Automatisierung aus dem Backend erstellen. Andernfalls müsste ich zwei verschiedene Automatisierungssätze entwickeln, die leicht unterschiedlich alarmieren“, sagt Vincent. „Mit einem anderen Tool wäre es für mein Team doppelt so viel Arbeit gewesen.“
Wiz ist viel mehr als ein CSPM-Anbieter. Es erfüllt viele andere Kriterien. Schwachstellen-Scans auf den Disk-Images, Container-Scans und Perimeter-Scans.
Problemen einen Schritt voraus sein
Mit Wiz kann Tide Risiken erkennen und beseitigen, bevor sie zu einem Hindernis werden. Die Priorisierung nur der kritischsten Schwachstellen und Fehlkonfigurationen bedeutete auch, Fehlalarme zu vermeiden – die Teams können sich nun auf wichtigere Aufgaben konzentrieren. „Wir sehen nur die, die uns wirklich wichtig sind und die in unserer Produktionsumgebung laufen. Und mit der Frühwarnung schaffen es Fehler nie in die Produktion. “, sagt Vincent.
Verkürzung der Zeit bis zur Erkennung
Das Sicherheitsteam von Tide profitiert von der Fähigkeit von Wiz, nach Expositionen zu suchen, bevor sie zu größeren Problemen werden. Vincent konnte interne Teams vor möglichen Auswirkungen einer neuen OpenSSL-Schwachstelle zu warnen, bevor die technischen Details bekannt gegeben wurden. „Ich konnte sehen, dass es in dieser Version von OpenSSL eine Schwachstelle geben würde, und suchte nach der Stelle, an der sie in unserer Infrastruktur betrieben wurde“, sagt Vincent. „Wir konnten alle Teams warnen, sodass sie vorausplanen konnten.“
Tide alarmierte nur die betroffenen Teams, wenn etwas in ihren Containern vorhanden war. „Wir konnten nicht nur die in unseren Pipelines eingebauten Container sehen, die die Schwachstelle enthielten, sondern auch genau sehen, welche in den nächsten Tagen betroffen sein würden. Es ist nicht die Zeit bis zur Behebung, die Wiz Ihnen spart – es ist die Zeit bis zur Erkennung, die äußerst wertvoll ist.“
Tide verwendet den Wiz Dynamic Scanner, um automatisch einen Screenshot und grundlegende Informationen für jede neue öffentliche Ressource zu erfassen und in einem internen Kommunikationskanal zu veröffentlichen. Dies ermöglicht es Ingenieuren, jeden Teil des mit dem Internet verbundenen Perimeters von Tide leicht einzusehen und Änderungen einfach zu kommunizieren.
Es kann schwierig sein, technische Details bei Führungskräften und Entscheidungsträgern anzusprechen, bei denen Best Practices nicht befolgt werden. Aber die Einfachheit der Benutzeroberfläche von Wiz hilft. „Hier sind Wiz’ schöne Grafiken nützlich“, sagt Vincent. „Ohne zu sehr ins Detail zu gehen, kann ich eine Grafik zeigen, die in die richtige Richtung geht, und es ergibt Sinn.“
Förderung von Innovation
Tide nutzt Wiz, um es Ingenieuren, die mit neuen Technologien experimentieren, zu ermöglichen, potenzielle Sicherheitsfehlkonfigurationen in der Testphase zu entdecken. „Es hilft ihnen, zu überlegen, wie sie bauen wollen“, sagt Vincent. „Die Arbeit findet im Testkonto statt, das Wiz einsehen und auf alle darin vorhandenen Probleme hinweisen kann.“
Zudem möchte sich das Team mehr auf die Projektfunktionalität von Wiz und die Möglichkeit konzentrieren, eine Reihe von Projekten basierend auf der Domäne zu unterteilen. Entwickler können ihre eigenen Container und ihre AWS-Infrastruktur taggen und erhalten so einen gezielten Überblick nur über ihre Domäne. „Das ist der nächste Schritt, während wir mit Wiz reifen“, sagt Vincent. „Es wird Entwickler ermutigen, die Oberfläche zu nutzen, weil sie nur das sehen, was sie in Angriff nehmen müssen.“
Möchten Sie erfahren, wie Ihr Cloud-Sicherheitsprogramm die gleichen Ergebnisse erzielen kann wie Tide? Werfen Sie einen genaueren Blick auf Wiz' Cloud-Sicherheitslösungen für Finanzdienstleistungen.
