Desafío
Las ofertas de Bridgewater se basan en múltiples servicios y proveedores en la nube, cada uno de los cuales tiene sus propias arquitecturas y enfoques, lo que dificulta la gestión de la seguridad, la gobernanza y el inventario de todo su entorno.
Antes, Bridgewater compilaba el inventario y los informes de seguridad manualmente, pero a medida que la empresa adquiría más recursos en la nube, la tarea pasó factura al equipo.
Bridgewater necesitaba una solución que le ayudara a ofrecer visibilidad de todo su entorno híbrido y multinube para mantener el nivel de seguridad requerido.
La solución
Wiz ayuda a Bridgewater a contextualizar los puntos de datos en torno a los recursos y controles de la nube para comprender cómo interactúan entre sí, lo que permite obtener una imagen más clara de todo su entorno híbrido y multinube.
El Grafo de Seguridad de Wiz libera a los equipos de seguridad e infraestructura crítica de Bridgewater del trabajo manual de compilar informes de seguridad, lo que les permite concentrarse en un trabajo más estratégico e impactante.
Wiz proporciona una amplia visibilidad, lo que permite una respuesta rápida y la priorización de vulnerabilidades (p. ej., Log4Shell).
Cómo innovar mientras se mantiene la seguridad de la misión crítica
Con el deseo de comprender los vínculos fundamentales y atemporales que hacen funcionar los mercados y las economías del mundo, Bridgewater Associates es una empresa de gestión de activos de primer nivel que gestiona alrededor de 150.000 millones de dólares para inversores institucionales de todo el mundo. La empresa usa la tecnología para generar, validar y ejecutar sistemáticamente sus puntos de vista sobre los mercados. A medida que la empresa innova, su infraestructura técnica aumenta en complejidad, lo que requiere avances en su programa de seguridad de misión crítica para igualarla.
"Como inversores macroeconómicos globales, debemos traducir los conocimientos en estrategias de inversión", afirma Igor Tsyganskiy, presidente y Director de Tecnología en Bridgewater Associates. "En un día cualquiera, podemos ejecutar miles de millones de dólares en operaciones en cientos de mercados de todo el mundo, por lo que la tecnología y la seguridad son de vital importancia para nosotros".
La mejora de la eficiencia en una infraestructura multinube
Después de haber trabajado con AWS y Azure durante muchos años, hoy en día los sistemas de misión crítica de Bridgewater están todos en la nube. La empresa necesitaba transformarse para mantenerse al día con un panorama digital en rápida evolución en el que la nube cambia de una manera que podría dar lugar a exposiciones si no se tienen en cuenta esos cambios.
La seguridad es el principio básico de cómo construimos software, pero tratar con la ciberseguridad es como esquiar sobre hielo roto en un río; el río fluye, el hielo se mueve, y hay que patinar. No sabes cuál será tu próximo movimiento. Solo sabes que tienes que moverte, de lo contrario caerás en el agua.
Tradicionalmente, la gestión de todos estos recursos requirió un esfuerzo manual significativo. Cada servicio tiene diferentes configuraciones y cada pequeño cambio puede crear nuevas vulnerabilidades. Mantenerse al día estaba desgastando a los equipos de infraestructura crítica y seguridad de Bridgewater, que pasaban horas recopilando informes de inventario y seguridad manualmente. Su objetivo era crear un gráfico de seguridad interno para rastrear los activos que querían proteger, así como las relaciones entre estos activos y los tipos de roles. Pero a pesar de este esfuerzo que demandaba tanto tiempo, aún no podía mantenerse al día con la naturaleza cambiante de la nube y proporcionar la imagen completa de Bridgewater necesaria para mantener el nivel de seguridad que requiere.
Selección de las herramientas adecuadas para emparejar la velocidad con la seguridad
Al buscar soluciones, Bridgewater no estaba interesado en productos de seguridad que pudieran abordar solo un aspecto del problema. La empresa tenía 3 criterios adicionales para evaluar una herramienta de seguridad:
Innovación continua
Cuán completa es la herramienta, en términos de dar cuenta de los recursos en la nube, los datos, el plano de datos, la identidad, el plano de control y las relaciones entre ellos
Facilidad de implementación sin necesidad de agentes ni de un ciclo de desarrollo amplio con actualizaciones continuas
Impresionado por la capacidad de Wiz de implementarse en horas, incluso en el caso de las arquitecturas más técnicas, el equipo seleccionó a Wiz como su socio de confianza en seguridad. De hecho, “Wiz superó todos esos criterios durante nuestra evaluación”, comenta Rob Bruce, Director de Infraestructura Crítica de Bridgewater. “Implementamos Wiz a través de acciones del plano de control en 200 cuentas muy fácilmente, y en un plazo de horas tuvimos toda la potencia de Wiz explicándonos lo que estaba sucediendo en nuestro entorno. Nada nunca pudo compararse con eso en términos de implementación rápida y sin problemas, y sin mantenimiento posterior”.
Desde el punto de acción hasta el punto de ROI, fue fácil elegir Wiz. Ni siquiera hemos pagado y ya hemos obtenido resultados. En ninguna otra parte este proceso fue tan rápido.
Cómo llevar visibilidad a un entorno complejo con facilidad
Bridgewater vio rápidamente el valor de Wiz durante Log4Shell, cuando la compañía utilizó Wiz para ver rápidamente, priorizar y abordar las instancias de riesgo de Log4j que no sabía que existían. “Cuando Log4Shell comenzó a surgir, quisimos conocer el alcance de nuestra exposición. En pocos días, Wiz descubrió que era 100 veces más de lo que inicialmente pensábamos”, recuerda Tsyganskiy.
Esto fue posible porque Wiz escanea todas las capas de los entornos de nube de Bridgewater para proporcionar una visibilidad completa de todas las tecnologías que funcionan en su nube, sin puntos ciegos. El escaneo del registro de contenedores de Wiz resultó importante para Bridgewater, considerando la compleja infraestructura tecnológica que está protegiendo: los recursos de nube se encuentran tanto en AWS como en Azure, y en contenedores AKS y EKS gestionados con Kubernetes.
La situación de Log4J destacó lo increíble que es Wiz: hay muchas herramientas en el mercado que pueden decirte dónde está Log4J, pero nadie más puede decirte qué importaba y qué no en ese escenario.
Además, Bridgewater utiliza el gráfico de seguridad de Wiz para contextualizar los puntos de datos en torno a los recursos y controles en la nube. “Wiz es la única empresa que hemos encontrado que está adoptando este enfoque de extraer todos los datos relevantes del inventario para construir un gráfico de seguridad con analíticas basadas en él”, comenta Bruce. El resultado es un gráfico de seguridad que le muestra a Bridgewater las interconexiones entre tecnologías que funcionan en su entorno de nubes múltiples, todo desde una sola consola.
“Los miembros del equipo que solían cotejar los informes de seguridad manualmente están ahora liberados de la tarea para centrarse en un trabajo más trascendental y valioso”, añade Tsyganskiy.
La mejora de la seguridad en toda la organización
Bridgewater está distribuyendo seguridad en toda la organización mediante la creación de marcos personalizados como puntos de referencia del CIS para equipos de desarrollo. “Wiz nos permite llevar rápidamente el trabajo relevante a quienes pueden actuar en consecuencia”, dice Bruce. “Desplegamos nuestros marcos personalizados en unas pocas semanas e inmediatamente comenzamos a ver tracción contra nuestros problemas”.
Los desarrolladores se apresuraron en incorporar a Wiz: casi todos los equipos de desarrollo crítico de la empresa lo adoptaron en 30 días, y ganaron inmediatamente más autonomía en la resolución de problemas. Bridgewater también integró Wiz con Jira para automatizar su sistema de emisión de tickets, que los desarrolladores luego repasan durante sus corridas para remediar los riesgos de manera eficiente y dentro de sus flujos de trabajo existentes.
Desde la adopción de Wiz, los equipos de desarrollo ahora pueden mantener y mejorar continuamente la seguridad de sus productos porque los miembros del equipo ahora ven cosas que no podían ver antes: nuevas rutas de exposición, combinaciones tóxicas, cómo todos los servicios en la nube y contenedores están configurados, y cómo cualquier cambio puede afectar al sistema general.
Cómo mantener la protección de un entorno en crecimiento
A continuación, Bridgewater pretende optimizar su uso de la gestión del inventario de Wiz. “Existe un enorme potencial en relación con dónde podemos llegar con la gestión de inventario utilizando Wiz. Entenderemos mejor dónde están nuestras máquinas, si cumplen con nuestros estándares de BCP, y si están en consonancia con nuestras mejores prácticas”, explica Bruce.
En la búsqueda de Bridgewater de una seguridad unificada para todos sus entornos en la nube, están entusiasmados de extender Wiz a sus entornos de VMware híbridos y locales. Wiz aporta visibilidad y reducción de riesgos a su nube híbrida en una sola plataforma, y el equipo está deseando ampliarla aún más. Como explica Tsyganskiy: “No hay nube privada ni nube pública, solo hay nube. Estamos en AWS y Azure y tenemos algunos racks de VMware que siempre estarán allí. Si nuestro entorno de VMware no es seguro, nuestras nubes públicas no son seguras y viceversa”.
Con Wiz, nuestro equipo de seguridad en la nube adquiere una visión unificada de nuestra postura de seguridad y sabe lo que necesitamos cubrir en todo nuestro entorno interconectado.
Además, la compañía está considerando Wiz Cloud Detection and Response (CDR) para gestionar mejor los eventos en la nube, con contexto, a medida que se desarrollan. “Wiz CDR nos permite no solo ver dónde hay una amenaza, sino también entender cuán preocupados deberíamos estar al respecto: esta característica tiene que ver con una priorización eficaz”.
Más allá de la ciberseguridad, la empresa se dedica a la investigación de próxima generación que requiere escalabilidad. “Nuestra investigación concilia lo que está sucediendo en microentornos, como una empresa, con lo que está ocurriendo globalmente”, explica Tsyganskiy. El objetivo es permitir que nuestros inversores entiendan lo que está sucediendo en un nivel que nunca antes habíamos visto para mejorar su productividad”. Impulsar este proyecto podría expandir múltiples veces el entorno de Bridgewater. Con Wiz en su arsenal, Bridgewater confía en poder afrontar cualquier cambio futuro.
“Nuestras ambiciones nos llevan a un panorama completamente nuevo para la ciberseguridad. Es difícil decir adónde nos llevará esta aventura, pero sé que será difícil, desafiante, interesante y emocionante”, concluye Tsyganskiy.
