DesafíoEsure opera en una industria altamente regulada donde la protección de la información del cliente es primordial.
Esure carecía de una visibilidad completa de su complejo entorno multinube.
Un ciclo de implementación acelerado dificultaba que el equipo de Esure mantuviera la supervisión de la seguridad.
La soluciónEnsure puede medir fácilmente el cumplimiento de las normas gracias a los marcos e informes incorporados de Wiz.
El equipo de seguridad de Esure tiene una visibilidad constante en todo su entorno multinube, con una imagen clara de los riesgos en todas las nubes.
Esure puede priorizar el riesgo utilizando Wiz, lo que permite una rápida corrección y permite a los desarrolladores centrarse en los riesgos más críticos.
Cambiar a la nube y mantener la seguridadEsure, empresa innovadora en el mercado de seguros del Reino Unido, fue pionera en la contratación de seguros de autos y hogar por Internet. La seguridad ha estado a la vanguardia de una transformación digital que ha permitido a Esure seguir revolucionando el mercado y ofrecer nuevos productos en una plataforma centrada en el cliente. La estrategia de la empresa es ser Seguro por diseño e integrar la seguridad en cada etapa del desarrollo.
Al desmantelar la tecnología heredada y pasar a la nube, esure abrió nuevas oportunidades, pero también se enfrentó a nuevos riesgos. El equipo de seguridad de la empresa tenía una visibilidad limitada de su complejo entorno multinube y carecía de una priorización clara de los riesgos. La solución existente de Esure también producía alertas constantes y falsos positivos, lo que dificultaba la identificación de cuál era la más apremiante. Esto significaba que se perdía tiempo en clasificar alertas que no eran riesgos reales.
El mayor reto en la migración de un entorno local a un entorno en la nube es la gran cantidad de vectores de ataque que hay que proteger.
Para Kenichi Shibata, ingeniero de DevSecOps en Esure, el gran problema es cómo priorizar cientos de miles de vulnerabilidades y luego crear informes sobre ellas, para que el ejecutivo pueda ver el nivel de riesgo. "En un mar de vulnerabilidades, ¿cuáles observamos?", dice Shibata.
El ciclo de vida de la implementación en Esure también ha pasado de una vez al mes a una vez a la semana y se está moviendo hacia un solo día, lo que crea un desafío de mantenimiento de la seguridad aún mayor. El equipo necesitaba asegurarse de que esta implementación rápida fuera compatible, sin comprometer la seguridad. Al crear automatizaciones entre las etapas de planificación e implementación, Esure pudo identificar los riesgos de seguridad desde el principio.
Con un entorno grande y complejo y una evolución continua en la nube, esto se estaba convirtiendo en una prioridad cada vez más importante. Wiz fue identificado como la mejor opción para Esure debido a su enfoque en la priorización de riesgos y las características centralizadas de su plataforma CNAPP, las cuales van más allá de las herramientas tradicionales de CSPM, incluyendo DSPM, CIEM, análisis de rutas de ataque y escaneo de secretos en repositorios de GitHub.
Una mayor visibilidad permite una corrección más rápidaEsure utiliza su propio panel de indicadores clave de riesgo consolidado en Grafana para visualizar cualquier riesgo en su entorno de nube y proporcionar una visión de nivel ejecutivo de la severidad. Wiz facilitó la fusión con los procesos y flujos de trabajo existentes que utilizaban los desarrolladores de Esure sin necesidad de adaptarse a nuevas herramientas.
Al insertar los datos de Wiz en el panel de control de Grafana, Esure ha podido establecer un "panel único de seguridad" que incluye una serie de puntos de datos, lo que facilita a los desarrolladores la clasificación y a los ejecutivos la priorización de la corrección.
Necesitábamos contar con una herramienta que nos diera visibilidad y midiera el riesgo en todos nuestros entornos de nube; también, que convirtiera ese riesgo en una prioridad. Lo conseguimos con Wiz.
Esto ya ha ayudado en la elaboración de informes internos, ya que el Gráfico de Seguridad de Wiz permite compartir fácilmente las consultas con los ejecutivos de la empresa. Cuando se necesita información más detallada, el equipo de seguridad de Esure ofrece a los desarrolladores acceso de autoservicio a Wiz para obtener un contexto completo sobre las rutas de ataque y la corrección.
"Después de implementar Wiz, pudimos dar un alcance más amplio a todos nuestros equipos y hemos aumentado nuestra visibilidad en nuestras plataformas en la nube", dice Richard Frost, CISO de Esure. "Eso nos ha permitido reducir el tiempo para corregir algunos de los riesgos que hemos identificado".
Gracias a esta mayor visibilidad, Esure ahora elimina de forma proactiva los riesgos críticos en su entorno y puede tomar medidas para reducir su superficie de ataque a la nube. Como resultado, los equipos están mucho más seguros de que las cosas correctas se están arreglando en el momento adecuado. Y ahora que ya no están revisando miles de alertas, la productividad también ha aumentado.
El cumplimiento es fácil de rastrear y mantener en todos los entornosEn una industria altamente regulada como la de los seguros, mantener el cumplimiento es fundamental. Antes de implementar Wiz, Esure encontró que los marcos de cumplimiento eran un desafío en el Cloud porque gran parte de sus informes de cumplimiento eran manuales.
Esure ahora utiliza los marcos de cumplimiento integrados de Wiz y los puntos de referencia de CIS para evaluar el cumplimiento en todo su entorno e informar fácilmente sobre su postura de cumplimiento a los equipos de auditoría. Con la evaluación continua y los informes automatizados generados por Wiz, la empresa puede ver rápidamente cómo se compara con los marcos de cumplimiento para cada una de sus diferentes cuentas y suscripciones.
Antes de contar con Wiz, informar sobre los marcos de cumplimiento en el Cloud era un proceso difícil y manual. Tener una herramienta como Wiz nos permite ver muy rápidamente cómo nos comparamos con un marco de cumplimiento para cada una de nuestras diferentes cuentas y suscripciones.
Los informes de cumplimiento ahora están estandarizados con informes trimestrales generados y descargados a través del portal de Wiz.
Esure también está utilizando la gestión de seguridad de la postura de datos (DSPM) de Wiz para obtener una visión completa de la información confidencial en todas sus plataformas en la nube. La compañía también valora la capacidad de Wiz para obtener una visión completa de todos los recursos en la nube de Esure. "Por ejemplo", dice Frost, "¿tenemos CrowdStrike en todas nuestras instancias no efímeras? ¿Qué aspecto tiene nuestro software para el final de la vida útil? Y la configuración de alertas. Todas estas otras características periféricas son realmente útiles".
Wiz da a los equipos de seguridad la confianza necesaria para mirar hacia el futuroLa gama de funciones que Wiz ofrece a Esure en una única plataforma ha aliviado las presiones de las adquisiciones en curso y ha centrado la atención únicamente en las vulnerabilidades. Esto es vital para el equipo en un momento de aumento de los ciberataques, incluidas las amenazas de las bandas de ransomware.
El equipo de Esure está ahora en condiciones de profundizar en las tácticas de estas bandas, comprender cómo pueden llegar a vulnerar entornos seguros y qué controles podrían aplicarse para prevenir los ataques. "Nos centramos más en el futuro que en reaccionar ante los problemas", dice Shibata. "Nos estamos anticipando a las infracciones, en lugar de limitarnos a reaccionar ante ellas. Nos da mucha confianza".
Trabajar con Wiz, como equipo, es trabajar en estrecha colaboración. Poder empezar a funcionar en un par de semanas fue increíble.
Hasta ahora, la solución de Wiz ha sido utilizada por los equipos de arquitectura y operaciones de seguridad de Esure, con un ejercicio de "captura de la bandera" dirigido por Wiz para apoyar el trabajo entre equipos e impulsar la adopción de la tecnología de Wiz en toda la empresa. La siguiente etapa es incorporar los equipos del centro de operaciones de seguridad (SOC) de Esure, con un compromiso integral en la seguridad, lo que deja a la empresa libre para crecer y desarrollar nuevos productos.
"El siguiente paso en nuestro viaje hacia la seguridad es mejorar y mejorar y mejorar continuamente", dice Frost. "Wiz es fundamental para ese viaje a través de nuestra nube".
¿Quiere saber cómo su programa de seguridad en la nube puede lograr los mismos resultados que Esure? Echa un vistazo de cerca a las soluciones de seguridad Cloud para servicios financieros de Wiz.