Desafío
MercuryGate quería crear un modelo interno de responsabilidad compartida en el que todas las partes interesadas fueran responsables de la seguridad de sus recursos en la nube para reducir los costes y disminuir el tiempo necesario para identificar y solucionar los problemas.
Para respaldar una migración masiva a la nube, M&A, y el crecimiento futuro, MercuryGate necesitaba una plataforma de seguridad en la nube que pudiera ayudar a proteger un gran entorno a escala.
La compañía vio noticias de un número creciente de ataques de seguridad cibernética en toda la industria del software y quería prepararse para el futuro con una solución que siguiera el ritmo de las amenazas potenciales.
La solución
MercuryGate consolidó su monitoreo de seguridad en la nube con Wiz. Hasta el 75% de sus usuarios son personal que no es de seguridad, por lo que la seguridad es una responsabilidad compartida en toda la organización.
La organización utiliza Wiz para reducir el tiempo que se tarda en analizar todo su entorno en la nube en busca de riesgos y puede revisar activos adicionales, como los entornos introducidos a través de M&Una actividad, en 15 minutos en lugar de 8 meses.
Al desplazarse a la izquierda, MercuryGate puede usar Wiz para buscar nuevas amenazas e identificar problemas antes de implementar el código en producción, adelantándose a los riesgos potenciales.
Una carrera para acelerar el crecimiento de forma segura
Puerta de mercurio es una plataforma global de transporte inteligente con más de dos décadas de experiencia ayudando a los clientes con la logística desde la primera milla hasta la última. Hoy en día, sus servicios incluyen todo, desde la gestión de reclamaciones y el cumplimiento hasta las herramientas de visibilidad oceánica. Para seguir innovando en su plataforma, MercuryGate decidió migrar su infraestructura local a la nube. Durante las primeras etapas de este viaje, la organización dependía de soluciones de seguridad heredadas y equipos de seguridad de terceros, pero a medida que crecía su presencia, necesitaba incorporar la seguridad internamente para mejorar la visibilidad y la velocidad de corrección.
En su fase de transición más amplia, MercuryGate también necesitaba herramientas de seguridad en la nube que le ayudaran a proteger eficazmente un entorno de nube masivo. "Tenemos una huella de nube realmente grande, especialmente para una empresa de nuestro tamaño", dice Chad Hicks, CISO de MercuryGate. "Eso conlleva algunas dificultades únicas cuando pensamos en proteger miles de instancias EC2, cargas de trabajo en contenedores y bases de datos nativas".
La seguridad es una responsabilidad compartida, y tener las herramientas adecuadas en su cinturón de herramientas garantiza que podamos democratizar la seguridad para proteger nuestro sistema. Nuestras soluciones heredadas dejaron a nuestro equipo en un punto muerto de seguridad, y fue extremadamente frustrante perder credibilidad con nuestros líderes sénior porque no lo hicimos'Teníamos una herramienta que nos ayudaba a identificar o compartir claramente los problemas de seguridad, por lo que sabíamos que necesitábamos cambiar nuestras herramientas y nuestra mentalidad.
Para garantizar un crecimiento sostenible, el equipo quería crear un programa de seguridad que se centrara en la colaboración interna. Dado que las fusiones y adquisiciones son una gran parte de la estrategia de crecimiento de la empresa, MercuryGate necesitaba evaluar la postura de seguridad de las nuevas adquisiciones y, al mismo tiempo, educar y colaborar con los nuevos miembros del equipo sobre las medidas de seguridad. "Pienso en la seguridad como en una carrera de F1. Los equipos de carreras pasan mucho tiempo colocando barandillas y medidas de seguridad para garantizar que los pilotos puedan entrar en las curvas lo más rápido posible", dijo Hicks. "En seguridad, nuestro objetivo es hacer lo mismo. Todos nuestros equipos se unen para asegurarse de que DevOps pueda moverse lo más rápido posible sin dejar de estar a salvo".
Uso de la visibilidad compartida para crear un equipo de seguridad en toda la organización
Para proteger su infraestructura en la nube y cambiar la mentalidad de su equipo en torno a la seguridad en la nube de proteger una solución local a la nube, MercuryGate comenzó su búsqueda de una nueva solución de seguridad en la nube. Durante el proceso de evaluación, la empresa priorizó la implementación rápida. En lo que respecta a Wiz, el equipo se alegró de saber que podían levantar la plataforma en cuestión de minutos para empezar a escanear de inmediato. "Se tardó 15 minutos en implementar Wiz", dijo Taryn Lloyd, ingeniera de nube de MercuryGate. "Casi no había tiempo entre la implementación de Wiz y la capacidad de representar con precisión nuestras vulnerabilidades de seguridad". El equipo de seguridad trabajó en estrecha colaboración con DevOps para crear una propiedad mutua de la seguridad desde el momento en que eligieron la nueva solución.
Con Wiz, MercuryGate puede conectar estrechamente a estos equipos para encontrar vulnerabilidades de manera más eficiente y acelerar la rapidez con la que pueden actuar sobre los hallazgos. "Otras herramientas de seguridad arrojan miles de hallazgos y se puede perder la noción de lo que es importante", dijo Hicks. "El contexto que proporciona Wiz nos permite trabajar rápidamente en correcciones de alto impacto". Tener un espacio compartido donde los equipos puedan colaborar también significa que ya no tienen que trabajar con hojas de cálculo para realizar un seguimiento de los datos o ejecutar informes en tiempo real.
El intercambio de datos también se extiende a otros altos directivos de MercuryGate. "Tenemos que armar presentaciones de métricas de seguridad cada trimestre y, a medida que trabajamos en ellas,'es realmente difícil entrar en una plataforma tras otra para agregar datos", agregó Hicks. "Wiz lo agrega todo en un solo panel y hace que sea fácil de compartir".
Cuando hay una nueva vulnerabilidad, puedo encontrar fácilmente los sistemas afectados y los CVE enumerados directamente en el panel de control de Wiz. Puedo ver dónde se encuentra cada sistema dentro de nuestra infraestructura y convertirlo en un boleto para que nuestros recursos en alta mar trabajen.
El equipo ha ampliado este espacio de colaboración para incluir a los usuarios de toda la organización: el 75% de los usuarios de Wiz en MercuryGate no forman parte del equipo de seguridad. Al abrir Wiz a equipos adicionales, como operaciones y desarrollo, todos los involucrados en el proceso de seguridad pueden generar sus propios informes, identificar problemas relacionados con sus propios proyectos y solucionarlos sin que el equipo de seguridad tenga que asignar una tarea. "Wiz me ha permitido hacer crecer nuestro equipo de operaciones y ayudarlos a capacitarlos sobre la agresividad con la que abordamos la aplicación de parches", dijo Lloyd. "También puedo mostrar a nuestros líderes sénior que muchos de nuestros altos riesgos están en cero debido al trabajo que realizamos.'Lo que se está haciendo".
Obtener una visibilidad completa en un entorno de nube complejo para reducir el riesgo en un 50 % en 60 días
La democratización del acceso a la información en Wiz ha ayudado a los equipos de MercuryGate a mantener la empresa más segura con menos recursos. Las tareas que antes requerían dos ingenieros dedicados a la nube ahora se pueden compartir fácilmente con equipos en el extranjero para resolver problemas, lo que libera a los equipos internos para que se centren en el desarrollo de nuevas funciones. También les ha ayudado a buscar y eliminar recursos no utilizados para ahorrar decenas de miles de dólares después de unos pocos meses de uso de la plataforma. En conjunto, esto ha dado como resultado una reducción de los riesgos en un 50% dentro de los 60 días posteriores a la implementación de Wiz.
Desde el punto de vista del cumplimiento, la organización ha podido consolidar la gestión de activos en Wiz para facilitar la supervisión. "Poder ver nuestro cumplimiento de SOC2 directamente en Wiz es mucho más preciso que las hojas de cálculo con las que lidiamos en el pasado", dijo Hicks. "Ahora, podemos hacer una búsqueda rápida, obtener listas de nuestro sistema que pueden no estar protegidas por el agente MDR y trabajar rápidamente para implementarlas. La exactitud nos permite decir a los auditores que'estamos haciendo todo lo que tenemos que hacer y reduciendo el riesgo".
Cuando usted'fusiones y adquisiciones, si'Es decir, que no se trata de hacer algo que'no es nativo de la nube y sin Wiz, podría llevar de seis a ocho meses implementar las cosas, lo que ahora podemos hacer en 15 minutos.
Con su panel único, las nuevas adquisiciones también se han vuelto fáciles de introducir en el entorno de nube de MercuryGate. Cada vez que se adquiere una empresa nativa de la nube, MercuryGate puede implementar Wiz para obtener visibilidad de su entorno en 15 minutos. "Hacemos mucha diligencia debida en el front-end, pero muchas organizaciones mantienen la información y su estrategia de seguridad en secreto", dijo Hicks. "Una de las primeras cosas que hacemos después de la adquisición es implementar Wiz y crear una hoja de ruta para los próximos 30 a 60 días de trabajo de seguridad".
Adelántate a las posibles amenazas
MercuryGate ahora está utilizando el escaneo IaC de Wiz para identificar amenazas antes de que lleguen a los entornos de producción. Esto, junto con la visibilidad entre empresas, está ayudando a los desarrolladores de MercuryGate a incorporar la seguridad antes en la creación de nuevas funciones.
La compañía se compromete a utilizar estos recursos para adelantarse a las amenazas futuras y en evolución. "A medida que miramos hacia el horizonte de la seguridad en la nube, debemos seguir a los actores de amenazas. En este momento, hay'es un gran enfoque en el compromiso de IAM", dijo Hicks. "Nosotros'Wiz será clave para encontrar el próximo movimiento de los actores de amenazas para que podamos estar seguros de detectar cualquier problema o configuración incorrecta en nuestro entorno".
