DesafíoEl proveedor de soluciones de análisis digital FullStory quería ampliar su visibilidad de seguridad en la nube para identificar y mitigar vulnerabilidades difíciles de predecir.
El equipo de seguridad de FullStory buscó fomentar la colaboración en toda la empresa, integrando su espíritu de seguridad en toda la organización, en beneficio de todos.
FullStory requería una solución capaz de identificar riesgos críticos y generar alertas priorizadas que no saturaran la función de ingeniería.
La soluciónFullStory correlaciona los problemas de seguridad en la nube en su entorno de nube y habilita el contexto de tiempo de ejecución mediante la implementación de la función Sensor de tiempo de ejecución Wiz en sus clústeres de Kubernetes.
Con la información generada por Wiz, el equipo de seguridad puede explicar mejor a los colegas de ingeniería por qué es necesario mitigar los riesgos, fortaleciendo aún más la asociación y la colaboración.
FullStory utiliza Wiz para diferenciar entre riesgos críticos e hipotéticos, falsos positivos y riesgos bajos/medios, para optimizar la asignación de recursos de seguridad.
Revelar los factores desencadenantes que influyen en el comportamiento de compra de los consumidores Fundada en Atlanta en 2014, Historia completa es líder del mercado en software de analítica digital para empresas digitales. Su plataforma ofrece a las empresas una imagen completa de cómo los consumidores utilizan su sitio web, aplicación móvil o plataforma de software, para que puedan mejorar la CX y aumentar las tasas de conversión de los clientes.
Con su tecnología Session Replay, FullStory permite a los proveedores de empresas digitales ver cuándo un cliente abandona su carrito de compras y por qué, dando a los proveedores la oportunidad de abordar los problemas de UX. FullStory utiliza la tecnología de captura automática para ayudar a revelar estos conocimientos, extrayendo las secciones relevantes de HTML necesarias para recrear las interacciones con los clientes.
Para que esto sea posible, el equipo de FullStory utiliza Google Kubernetes Engine para las implementaciones de contenedores, Google Compute Engine para alojar máquinas virtuales y BigQuery para el almacenamiento de datos.
Mark Stanislav, vicepresidente de Ingeniería de Seguridad, Gobernanza, Riesgo y Cumplimiento de FullStory, afirma que concentrarse en un solo proveedor de nube es una elección estratégica: "FullStory está impregnado de Google Cloud y siempre lo ha estado. En última instancia, una gran seguridad se reduce a minimizar la complejidad. Cuanto menor sea la complejidad, más fácil será alcanzar tus objetivos".
Habilitación de la función de ingeniería a través de una colaboración reforzada Mejorar la relación entre los equipos de ingeniería de software y seguridad de FullStory fue una prioridad importante para Stanislav cuando fue ascendido a vicepresidente de ingeniería de seguridad en septiembre de 2022. Sin ninguna influencia del equipo de seguridad, la función de ingeniería de la empresa ya había creado procesos sólidos en torno al diseño de software de productos, la creación de documentos y la revisión por pares. El equipo de ingeniería tenía sus propios procesos de aprobación, que incluían un análisis de los bloqueadores de riesgos de seguridad en la nube para cada producto.
Stanislav dice que su objetivo es nutrir este entorno y capacitar aún más a los ingenieros de FullStory, en lugar de bloquearlos con obstáculos de seguridad. "Hay una cultura de ingeniería rigurosa y madura en FullStory", explica. "Contratamos ingenieros extremadamente talentosos y reflexivos, por lo que queremos que se muevan de manera segura, en lugar de poner barreras de seguridad frente a ellos", explica.
Según Stanislav, cada implementación de software de FullStory sigue un patrón similar. Este enfoque basado en plantillas garantiza la máxima coherencia en torno a la creación e implementación de nuevo código. Sin embargo, a pesar de que el equipo de ingeniería de FullStory se preocupaba por la seguridad y de que el entorno de Google Cloud estaba optimizado con implementaciones estandarizadas, Stanislav y su equipo seguían necesitando una forma rápida y eficaz de identificar y mitigar las amenazas imprevistas para el entorno de la nube de la empresa.
Muchos equipos de seguridad se vuelven muy buenos para proteger las cosas que conocen. Por lo tanto, el verdadero riesgo radica en las cosas que no conocen, o en la tecnología que no sabían que se implementó. Necesitábamos una solución que pudiera centrarse en nuestras brechas de seguridad en la nube, los riesgos atípicos y las incógnitas.
Sin embargo, el desafío de implementar una solución de seguridad en la nube granular es que los equipos de seguridad pueden verse inundados de notificaciones (incluidas hipotéticas y falsos positivos), y este ruido puede enmascarar vulnerabilidades críticas.
El equipo de Stanislav necesitaba una solución que no solo priorizara los riesgos críticos, sino que también proporcionara un contexto enriquecido, para que pudieran explicar al equipo de ingeniería la urgencia de mitigar vulnerabilidades específicas. Este nivel de conocimiento compartido fortalecería aún más la colaboración dentro de FullStory.
Aprovechar una solución "sorprendentemente rápida", construida desde cero FullStory adoptó la plataforma Wiz con la fuerza de al menos dos USP. El primero fue la velocidad a la que los usuarios pueden interactuar con la plataforma. "Incluso cuando te enfocas en consultas muy complejas y matizadas, las respuestas de Wiz son sorprendentemente rápidas", dice Stanislav. "Puedes crear casi cualquier tipo de solicitud y Wiz te responderá casi de inmediato. Otros CSPM pueden tardar minutos en generar una respuesta, lo que puede ser muy frustrante".
Al principio, FullStory se mostró cauteloso a la hora de lanzar Wiz's Runtime Sensor, adoptando un enfoque de "aterrizar y expandir", lo que les permite evaluar completamente el impacto de la solución. Demostraron que el sensor no degradaba el rendimiento y encontraron un enorme valor en los nuevos casos de uso que desbloquea el sensor. Ahora, el sensor de tiempo de ejecución se implementa en sus clústeres administrados por GKE. Esto permite la supervisión en tiempo real, la detección en tiempo real y el contexto en tiempo de ejecución. Stanislav considera que las características adicionales del sensor son una extensión natural del producto principal sin agentes. La adición del contexto en tiempo de ejecución, al ver la vulnerabilidad en ejecución, muestra que la solución está priorizando correctamente la mitigación de riesgos, lo que agrega otra capa de confianza para el equipo de Stanislav.
El riesgo con otras tecnologías de alta automatización es que emiten tantas alertas que los usuarios se desconectan. Wiz, sin embargo, clasifica el riesgo de una manera altamente procesable. No recibimos 200 alertas al día, por lo que cuando recibimos una alerta crítica, sabemos que debemos corregirla de inmediato.
Por ejemplo, esta visibilidad granular puede permitir al equipo de Stanislav identificar rápidamente un puerto de servicio expuesto, un problema que, de otro modo, podría llevar meses o años identificar. También pueden aislar inmediatamente las nuevas vulnerabilidades de código antes del lanzamiento de un producto, lo que reduce el riesgo de seguridad en la nube a prácticamente cero.
Uno de los otros puntos clave de venta de FullStory es que la plataforma Wiz se ha desarrollado de forma independiente, sin tecnología de terceros torpe. "Con muchas soluciones de seguridad cibernética, se puede decir que se han improvisado después de una fusión o adquisición", dice Stanislav. "Es obvio que estas plataformas no tienen la misma base de código subyacente ni las mismas API. Wiz es diferente porque ha sido construido desde cero, con una uniformidad intencional. La calidad superior resultante es evidente".
Hacer de la seguridad una responsabilidad compartida Stanislav y su equipo han sido capaces de mejorar aún más la colaboración interna al dar a los equipos de ingeniería acceso a Wiz. Esto les permite comprender y priorizar fácilmente los riesgos más rápido y a un nivel más granular, interrogando el gráfico de seguridad de la plataforma y ejecutando informes de seguridad precisos.
El equipo de seguridad está apoyando a más partes interesadas y aumentando su esfera de influencia en toda la empresa aprovechando los datos que proporciona Wiz para capacitar a todos para que desempeñen un papel en la protección de FullStory de las amenazas de seguridad.
Ampliar la visibilidad al equipo de ingeniería es una parte clave del proceso de colaboración para Stanislav. Dice que "no basta con decirle a un ingeniero que arregle una vulnerabilidad de seguridad, quieren saber por qué. Quieren ser socios. Eso significa que el equipo de seguridad también necesita tener una idea de cómo podría ser una solución".
Stanislav y su equipo ahora están explorando nuevas y emocionantes oportunidades para asociarse con partes interesadas internas de una gama más amplia de funciones comerciales, compartiendo alertas de vulnerabilidad de Wiz y difundiendo su mensaje único de seguridad en la nube a medida que avanzan.