Desafío
Una compleja arquitectura multinube gestionada por varios equipos dificultaba el establecimiento de procesos de seguridad claros y coherentes.
Como empresa de rápido crecimiento AppsFlyer necesitaba asegurar que protegiera su entorno en la nube sin permitir que la seguridad se convirtiera en una barrera para la productividad y eficiencia de los desarrolladores.
AppsFlyer necesitaba una solución de seguridad que fuera fácil de implementar y gestionar a escala, y que era capaz de ofrecer una visibilidad profunda y contextualizada en riesgos de seguridad.
La solución
AppsFlyer puso en práctica la gestión de la seguridad en su amplia gama de entornos en la nube y tipos de cargas de trabajo con una herramienta CNAPP.
Al escanear la infraestructura como código (IaC) en busca de riesgos de seguridad antes de que se apliquen, AppsFlyer permitió a los equipos de desarrollo cambiar a la izquierda.
AppsFlyer obtuvo una visibilidad completa de su infraestructura utilizando Wiz'Capacidades de escaneo sin agente y panel de seguridad centralizado.
La mejora de la seguridad en una organización de crecimiento rápido
Uno de los mayores desafíos para cualquier equipo de marketing es la atribución. Es evidente que conectar un retorno de la inversión (ROI) para campañas publicitarias específicas es especialmente difícil, y AppsFlyer proporciona métricas de rendimiento de las campañas para ayudar a las empresas a maximizar el valor de vida del cliente. Estos desafíos del ROI son tan comunes, de hecho, que AppsFlyer ha experimentado un crecimiento exponencial en los últimos años. La organización casi ha doblado su número de cabezas y tiene cerca de 400 desarrolladores.
Estos equipos también trabajan a través de una infraestructura en la nube. Su entorno en la nube funciona a través de más de cuatro proveedores de nubes procesa más de mil millones de eventos de cómputo diarios y utiliza más de diez lenguajes de programación diferentes. Esto ha representado un gran reto para su equipo de seguridad ya que trabaja para proteger la creciente infraestructura. “Hemos experimentado una enorme cantidad de crecimiento”, dice Danny Robinson, Director de Ingeniería de Seguridad de AppsFlyer. “Tuvimos que pensar en una estrategia de seguridad de la empresa que nos sirviera si estábamos apoyando a 1.000 empleados o a 5.000 empleados”.
Estábamos luchando contra los incendios porque había que apagarlos, pero lo que realmente necesitábamos era una estrategia. Y esa estrategia necesitaba incluir nuevas formas de ayudar a nuestros equipos a conectarse y trabajar juntos.
Para satisfacer estas nuevas necesidades, AppsFlyer presentó un nuevo CISO, Dikla Saad Ramot, para unificar sus procesos de seguridad existentes. La centralización del programa de seguridad de la empresa con este equipo incluyó el alejamiento de la seguridad basada en proyectos hacia un enfoque más estratégico y basado en el riesgo. En su lugar, el equipo quería reducir el tiempo dedicado a la investigación manual de vulnerabilidades y conectar sus herramientas de separación.
Además, la organización encontró que su equipo de seguridad, que está subdividido en equipos de ingeniería, operaciones y gobernanza, necesitaba una forma más directa de comunicarse. “Tuvimos que aprender a hablar el mismo idioma en nuestras reuniones semanales y ser capaces de reaccionar a las cuestiones rápidamente”, dice Robinson. AppsFlyer necesitaba más que una herramienta; necesitaba un socio de seguridad para ayudar a dar forma a las soluciones a los retos de seguridad que plantea su entorno nube dinámico y espinoso. incluyendo un enfoque principal en la exploración de IaC. Fue durante esta búsqueda cuando AppsFlyer encontró Wiz.
Desplazamiento a la izquierda cambiando las prioridades de seguridad
Conociendo que el equipo quería mejorar la visibilidad, la comunicación y la colaboración, inicialmente adoptó Wiz como una solución CSPM para simplemente monitorear su infraestructura mientras utiliza otras soluciones para remediar. Con el entorno multinube de AppsFlyer, uno que incluye una infraestructura extensa como código (IaC) como máquinas virtuales, aplicaciones contenedoras alojadas en Kubernetes, y contenedores independientes: el equipo descubrió que también tenían que unificar la supervisión y la remediación para crear procesos de despliegue más fluidos.
La consolidación de su gestión de seguridad llevó a AppsFlyer a adoptar Wiz para la exploración de IaC a aprovechar más funcionalidad dentro de una sola herramienta y centralizar aún más su solución CNAPP. “Queríamos implementar IaC en nuestros pipelines, pero para hacerlo bien, necesitábamos escanear fácilmente nuestros implementos críticos de infraestructura”, dice Robinson. “Con Wiz, todo nuestro escaneo corre en el mismo lugar y tenemos una visión más clara y holística de nuestra postura de seguridad”. Proporcionar al equipo una información más contextualizada y centrada sobre sus riesgos ayudó a AppsFlyer a obtener una visión más holística de su extensa infraestructura. El equipo ha podido utilizar el escaneo sin agente de Wiz's para liberar tiempo para estrategizar y diseñar pautas más explícitas para lo que la empresa considera válido, infraestructura segura.
Como empresa nativa de la nube, la seguridad en la nube es una parte esencial de nuestra estrategia de seguridad. Trabajar con Wiz para escalar nuestro programa de seguridad nos ha ayudado a mantener el ritmo de los rápidos cambios en los requerimientos tecnológicos y nuestras propias capacidades para adaptarse a esos cambios a medida que llegan.
Este cambio de enfoque también ha ayudado al equipo a desplazarse hacia la izquierda, o priorizar la revisión y el tratamiento de los riesgos antes del proceso de desarrollo. y mejorar la colaboración entre los equipos de ingeniería de seguridad y desarrollo. Con un mayor contexto en cuanto a sus riesgos a través de la completa infraestructura de AppsFlyer, los equipos han adquirido una mejor comprensión de qué riesgos hay que priorizar. “Con nuestra solución anterior, se nos notificaría de muchas vulnerabilidades que en realidad no eran explotables”, dice Robinson. “Nuestro equipo estaba dedicando mucho tiempo a revisar los no temas, pero ahora podemos entender cuáles de nuestros riesgos son importantes”.
Operacionalizar la seguridad para construir equipos más fuertes
Uno de los objetivos más importantes de AppsFlyer fue utilizar sus nuevas herramientas de seguridad para mejorar la relación entre seguridad e investigación y desarrollo (R&D). Para lograrlo, la seguridad sabía que tenían que compartir información de una manera que no afectara a los plazos de producción. "Apoyar las relaciones con nuestro R&D es más importante que solucionar un solo problema. Arreglaremos los riesgos”, dice Robinson. “Lo más importante para nosotros no era bloquear a nadie”.
La compañía integró a Wiz con su plataforma de respuesta a incidentes para agilizar las respuestas a las alertas de seguridad y activar flujos de trabajo de remediación automatizados creados por el equipo de operaciones de AppsFlyer'. “Wiz nos ayudó a cambiar la mentalidad acerca de lo que hace una plataforma de seguridad para la organización”, dice Robinson.
“Movernos desde un momento en que otros equipos vieron la seguridad como un bloqueador hasta hoy cuando esos mismos equipos vienen a nosotros para iniciar una conversación es un cambio importante. agregó Doron Schwartz, Ingeniero de DevSecOps en AppsFlyer. “Podemos trabajar más fácilmente juntos para discutir cómo pueden iniciar proyectos de forma segura”.
Necesitábamos una visión holística de toda nuestra infraestructura en la nube, aplicaciones y el nivel de riesgo en cada uno de esos activos. Puede ser difícil saber dónde iniciar conversaciones sobre un entorno de este tamaño, y obtenemos esa visibilidad de la caja con Wiz en tan solo unos clics.
Con una visión más completa de su entorno, el equipo también pudo identificar y remediar rápidamente temas relacionados con Log4J. “Cuando Log4J golpeó, no tuvimos que empezar a escanear, Wiz lo hizo automáticamente”, dice Robinson. “Fuimos capaces de identificar a los equipos responsables, compartir las cuestiones que necesitaban abordar y señalarlos a qué archivos fueron impactados—todos en un solo lugar".
Este enfoque de cristal único también ha simplificado que nunca la presentación de informes. “Cuando se nos pregunta por la postura de seguridad de AppsFlyer, podemos proporcionar números absolutos que hablan por sí mismos y cuando lo necesitamos, también tenemos respuestas contextualizadas sobre nuestra salud de seguridad”, dice Robison. “No teníamos la capacidad de hacerlo antes, y ha marcado una enorme diferencia en la forma en que compartimos la información”.
Inundando en una nueva era de seguridad con AppsFlyer
Mientras que la colaboración entre los equipos de seguridad de AppsFlyer sigue mejorando, la compañía busca soluciones adicionales para que el proceso sea aún más fluido. Esto incluye llevar su escaneo de tiempo de ejecución a Wiz con el sensor Runtime para tener aún más contexto alrededor de por qué una vulnerabilidad es explotable y reducir aún más el tiempo dedicado a remediar riesgos innecesarios. Esto será especialmente importante en el mundo de las máquinas virtuales e imágenes docker para asegurar aún más sus aplicaciones vivas y contenedoras.
