Desafío
A medida que la empresa crecía, la cantidad de datos y el número de alertas también aumentaban. La empresa buscaba una nueva solución que proporcionara una visibilidad completa de su entorno con una fuerte priorización contextual de los riesgos para ayudarla a crecer y seguir siendo eficiente.
Fiverr quería empoderar a sus equipos de desarrollo para que se hicieran cargo de la resolución de problemas y permitirles moverse rápidamente sin sacrificar la seguridad.
Fiverr tenía múltiples estándares y regulaciones de seguridad y buscaba una solución que proporcionara una respuesta a incidentes más eficiente y efectiva.
La solución
Fiverr implementó Wiz para obtener una visibilidad completa de todos los recursos en la nube (IaaS, PaaS, SaaS), identificar y priorizar los riesgos de seguridad y automatizar la aplicación de las políticas de seguridad.
Fiverr prioriza los problemas con la correlación de gráficos contextuales de Wiz que reduce drásticamente la cantidad de riesgos críticos.
Los informes de cumplimiento se generan automáticamente con la funcionalidad de informes de Wiz para ayudar a mantener el cumplimiento de múltiples estándares y regulaciones de seguridad.
Cómo cerrar la brecha entre la seguridad y los desarrolladores
El gerente de Seguridad de Fiverr, Idan Pinto, sabía que necesitaba una herramienta avanzada con nuevas características y capacidades para hacer frente a los riesgos de la nube a medida que evolucionan todos los días.
"Nuestra herramienta principal anterior para la gestión de riesgos en la nube no nos daba la visibilidad completa que necesitábamos de todos nuestros recursos en la nube", explica Pinto. "Era difícil usarla y obtener la información que necesitábamos, y no nos proporcionaba el contexto necesario para evaluar adecuadamente el riesgo y priorizar las iniciativas de resolución".
Fiverr también necesitaba una solución que permitiera a sus equipos de desarrollo hacerse cargo de la seguridad sin ralentizarlos.
Tratando de cerrar la brecha entre los equipos de desarrollo que solo quieren avanzar rápidamente y la necesidad de nuestro equipo de seguridad de proteger a la empresa era un verdadero desafío. Necesitábamos una forma de dar a los desarrolladores la autonomía que necesitan y, al mismo tiempo, proporcionar la visibilidad y el control que nuestro equipo de seguridad necesita.
Fiverr también se beneficia de la capacidad de Wiz de mapear los hallazgos según los diferentes estándares de seguridad como ISO27001, SOC2 y PCI DSS, y presentarlos en un informe.
“Ver los riesgos y hallazgos mapeados según las diferentes certificaciones en Wiz realmente me ayuda a concentrarme y priorizar mi trabajo”, comenta Pinto.
Priorización de los riesgos más importantes
Pinto recurrió a Wiz en busca de una solución que no solo ofreciera la visibilidad y el control necesarios para gestionar los riesgos de seguridad en todo el entorno de AWS de Fiverr, sino que también ayudara a priorizar los riesgos en función del contexto y el impacto empresarial.
"Al principio, queríamos centrarnos en la gestión de identidades con eventos en la nube para detectar el movimiento lateral en nuestra infraestructura en la nube. Conectar Wiz fue fácil, con la ayuda del equipo de soporte y la documentación."
Fiverr ve sus primeros resultados en cuestión de horas
"Nuestros primeros números aparecieron en un par de horas. Algunos de ellos eran realmente interesantes, cosas que no habíamos visto antes. Estaban relacionados con la combinación de la gestión de identidades y la exposición externa", explica Pinto. "Después de eso, comenzamos a conectar más y más cuentas y ahora tenemos visibilidad completa de nuestra infraestructura en la nube y la capacidad adicional de ver todos los eventos en nuestro entorno".
Con Wiz Cloud Detection and Response, Pinto finalmente pudo dar a los desarrolladores las herramientas que necesitaban para actuar con más autonomía.
Utilizamos Wiz para monitorear y que nos alerte de los cambios en nuestro entorno de AWS que podrían ser riesgos de seguridad. Asignamos todos los problemas a los propietarios que realizan el cambio y brindamos a nuestros equipos de desarrollo la capacidad de ocuparse de sus propias necesidades y, al mismo tiempo, cumplir con nuestras políticas de seguridad internas.
Pinto y su equipo han podido abordar rápidamente los riesgos con Wiz.
"Hemos tenido algunas situaciones en las que pudimos identificar problemas a tiempo y evitar que se convirtieran en incidentes en toda regla”. Con Wiz, Pinto ha podido no solo optimizar las iniciativas de corrección para los estándares de seguridad, sino también mapear automáticamente los riesgos en los informes de cumplimiento. "Esto ha sido de gran ayuda para nosotros a la hora de mantener el cumplimiento de múltiples normas y reglamentos de seguridad".
Corrección rápida con recursos mínimos
Desde la implementación de Wiz, Fiverr ha visto una reducción significativa en sus riesgos generales de seguridad en la nube y ha descubierto vulnerabilidades que la solución anterior pasó por alto. El equipo también ha podido responder a los incidentes de forma más rápida y eficaz, lo que le permitió ahorrar tiempo y recursos.
"La automatización que proporciona Wiz y las integraciones disponibles en nuestros sistemas de mensajería ayudaron a cerrar los bucles de manera oportuna y a colaborar con nuestros equipos de DevOps e Investigación y Desarrollo", afirma Pinto. "Con la priorización que proporciona Wiz, podemos centrarnos en los problemas críticos reales de nuestro entorno".
