Desafío
A los equipos de seguridad y DevOps de Fiverr les resultaba difícil colaborar eficazmente en los objetivos de seguridad.
Fiverr sabía que tenía que establecer flujos de trabajo de seguridad que apoyaran, en lugar de interrumpir el trabajo de la organización.
Fiverr necesitaba crear un lenguaje común para que el equipo de seguridad informara a otras partes interesadas en el negocio.
La solución
Al establecer objetivos de seguridad claros y medibles, Fiverr estableció un lenguaje compartido y confiable para discutir las necesidades de seguridad.
El equipo de seguridad de Fiverr conectó Wiz con las herramientas de gestión de proyectos de DevOps para enviar nuevos hallazgos de seguridad y ayudar a los desarrolladores a priorizar los riesgos.
Con los paneles de Wiz, el equipo de seguridad de Fiverr puede capturar y compartir fácilmente información actualizada tanto con los colaboradores como con la gerencia.
Uniendo la seguridad para eliminar vulnerabilidades críticas
Fiverr se fundó para brindar a las personas la capacidad de comprar y vender servicios digitales de la misma manera que pueden comprar bienes físicos, y su misión principal es cambiar la forma en que el mundo funciona en conjunto. Cuando Idan Pinto, ingeniero de DevSecOps en Fiverr, se unió a la empresa, la seguridad en la nube era una responsabilidad colectiva. Esto significaba que los equipos de producto gestionaban sus propias vulnerabilidades y que el cumplimiento de PCI era supervisado y gestionado por otro equipo; Las filiales gestionaban sus propios riesgos. Este sistema dificultaba que Fiverr entendiera quién era responsable de los riesgos asociados, especialmente cuando se trataba de servicios heredados y herramientas obsoletas.
Hacer un cambio en todo el proceso de la organización fue un largo camino, pero ahora, los esfuerzos de seguridad de Fiverr y su infraestructura en la nube se han consolidado en AWS y GCP. Esto incluye las subsidiarias de Fiverr, por lo que el equipo tiene control total sobre la postura de seguridad de la empresa. Al conectar toda la información de seguridad de la empresa con Wiz y otras herramientas de seguridad, surgieron algunas vulnerabilidades críticas en toda la empresa.
Una vez consolidada la gestión de la seguridad, el equipo de seguridad de Fiverr se propuso encontrar y remediar las vulnerabilidades en toda la organización. Esta información ayudó al equipo a poner en práctica sus esfuerzos de corrección mediante la creación de procesos de detección y supervisión de seguridad en el ciclo de vida de trabajo existente del equipo de DevOps. "La siguiente etapa para nosotros consistió en tomar toda nuestra investigación, compartirla con el liderazgo y luego introducir esa información en los flujos de trabajo diarios de DevOps sin cambiar la forma en que funcionan", dijo Pinto. Al colaborar durante las reuniones semanales e integrar sus herramientas de gestión de la seguridad, pudieron abordar sus mayores riesgos prioritarios y reducir las vulnerabilidades críticas a cero.
Consolidamos nuestro proceso de gestión de vulnerabilidades combinando nuestras otras herramientas con Wiz. Ahora podemos agregar todos nuestros hallazgos y notificar rápidamente al propietario correcto.
Generar confianza en toda la organización utilizando Wiz para crear un lenguaje de seguridad compartido
Uno de los mayores desafíos que conlleva la implementación de cambios en toda la empresa es hacer que las personas entiendan por qué son tan importantes. "Necesitábamos demostrar a nuestros socios comerciales cómo la seguridad era un facilitador, no un deshabilitador para la organización", dijo Pinto. Este proceso implicó meses de reuniones con las partes interesadas para comparar la infraestructura en la nube existente de Fiverr con la versión de la misma que el equipo de seguridad esperaba ver: un sistema con cero críticos en solo seis meses.
El equipo de seguridad utilizó Wiz para mostrar los riesgos que afectaban a la organización e informó a otros equipos del coste potencial para la empresa si no se abordaban esos riesgos. Sus reuniones semanales ayudaron al equipo de seguridad a establecer qué riesgos podía aceptar Fiverr y cuáles debían abordarse con urgencia. "Nuestro enfoque se centró en generar confianza con nuestros socios de DevOps", dijo Pinto. "Y usando Wiz, no tenemos que decir mucho. Pueden ver y entender exactamente lo que estamos viendo, por lo que podemos estar en la misma página".
Dado que Wiz nos da un lenguaje compartido, puedo colaborar con nuestro equipo de DevOps durante las reuniones semanales para que todos entendamos completamente qué pasos se deben tomar en un problema. Eso podría ser una remediación. Podría ser aceptar un cierto riesgo. Lo importante es que tengamos la capacidad de hablar de ello.
Juntos, la seguridad y DevOps trabajaron a partir de estas reuniones para crear flujos de trabajo automatizados para encontrar y remediar los riesgos sin interrumpir otros proyectos de desarrollo valiosos. Al conectar Wiz con las herramientas de comunicación y gestión de proyectos de Fiverr (Monday.com, JIRA y Slack), las vulnerabilidades ahora se encuentran y se consolidan y agregan en un solo lugar. Una vez que el equipo de seguridad revisa los hallazgos, los tickets se abren automáticamente. "Nuestros equipos de DevOps son propietarios parciales de nuestros problemas más críticos", dijo Pinto. "Al conectar nuestras plataformas a Wiz, podemos crear automáticamente tickets de JIRA o Monday para asegurarnos de que el equipo los vea, de modo que las vulnerabilidades se manejen rápidamente".
A medida que se envían nuevos hallazgos a cada sprint de desarrollo, Fiverr puede seguir el ritmo de los riesgos potenciales a medida que se encuentran, y el trabajo de corrección se integra directamente junto con las tareas diarias de DevOps. Luego, el equipo de seguridad puede exportar fácilmente datos de Wiz e informar el progreso a los líderes de DevOps durante las reuniones semanales, para que el equipo pueda continuar iterando. "Tomar medidas para mejorar nuestra postura de seguridad es un esfuerzo de equipo", agregó Pinto. "Poder explicar a todo el mundo lo que hemos logrado y qué más podemos lograr ayuda a la gente a entender mi agenda y mantiene nuestra infraestructura segura".
Fiverr acelera el desarrollo de funciones al llegar a "cero crítico"
La clave del éxito de Fiverr en materia de seguridad ha sido su enfoque en mejorar las relaciones con el equipo. La seguridad y DevOps pueden comunicarse de manera eficiente y confiar en que cada equipo está trabajando hacia los mismos objetivos. "Generamos confianza con nuestros equipos y con Wiz", dijo Pinto. "Estamos muy satisfechos con el apoyo y la capacidad de respuesta del equipo de Wiz, y todos juntos hemos diseñado un sistema, hemos hecho un cambio masivo en el diseño de nuestra arquitectura y ahora no tenemos ninguna crítica".
Wiz también ayuda a los equipos de DevOps a ahorrar tiempo al pasar de los escaneos basados en scripts a las API. Poder ver y compartir información entre equipos sin recursos adicionales abre nuevas formas de actuar de forma colaborativa sobre información importante con mayor rapidez. "Es útil ver que estamos ahorrando tiempo de ingeniería y que podemos exportar información útil de inmediato", dijo Pinto. "Esto también significa que nuestros equipos pueden centrarse en el desarrollo de nuevas funciones". Al continuar integrando nuevas funciones en los flujos de trabajo y plataformas adicionales como GitHub para identificar más claramente a los propietarios de los proyectos, el equipo puede crecer más rápido y fortalecer aún más su postura de seguridad.
Por lo general, lo más difícil para un equipo de seguridad es tomar todos nuestros hallazgos y elegir el correcto en el que centrarse. Wiz nos da la capacidad de encontrar las vulnerabilidades más críticas en nuestra infraestructura para asegurarnos de que estamos resolviendo los problemas que tendrán el mayor impacto.
Fiverr avanza con más automatización
Equipado con un conjunto de herramientas en crecimiento y un equipo más colaborativo, Fiverr ha alcanzado el objetivo del equipo de seguridad de cero vulnerabilidades críticas, pero su compromiso con la seguridad en la nube no'No me detengo ahí. A medida que la organización se propone continuar eliminando los problemas de alta prioridad a medida que surgen, ve una nueva oportunidad para centrarse en el tiempo de ejecución y las vulnerabilidades en el código de la organización. Esto incluye el análisis y la corrección en toda la canalización de CI/CD de la organización. "Llegar a este punto tomó meses de gestión del cambio y trabajo en equipo, pero ahora todos estamos trabajando juntos hacia los mismos objetivos, y es una victoria para todos", dijo Pinto.
