Desafíos
Para mantener su postura de seguridad sin un equipo de seguridad dedicado, Monument Bank necesitaba visibilidad inmediata de lo que los desarrolladores estaban construyendo en la nube.
Monument Bank necesitaba un proceso escalable y eficiente para que los equipos de desarrollo abordaran los problemas rápidamente.
Monument Bank buscó identificar problemas repetidos en la producción e implementar "shift left" para solucionarlos antes.
Soluciones
Monument Bank tiene una visión unifica y en tiempo real de todo su entorno AWS.
Los equipos de desarrolladores pueden comprender y remediar rápidamente el riesgo en la nube usando los informes accionables y contextualizados de Wiz.
Monument Bank mantiene su estrategia segura utilizando las protecciones de Wiz para prevenir problemas recurrentes en el proceso de desarrollo.
Unificación de equipos internos para asegurar la nube
Monument Bank ofrece a su clientela de profesionales de negocios, empresarios e inversores inmobiliarios una plataforma bancaria digital basada en tecnología en la nube. Este emprendimiento de neobanco ofrece una gama de productos de ahorro y préstamo que utiliza capacidades avanzadas dentro de la aplicación para las interacciones con clientes. “Reunimos tecnología modular de vanguardia en una configuración única, para redefinir la banca premium para los consumidores de patrimonio elevado masivos”, comenta Graham Law, Director de Operaciones de Nube de Monument.
Monument es también un banco regulado. “Hay expectativas regulatorias, expectativas de los clientes y amenazas genuinas en la industria”, afirma Law. “Como guardianes de los ahorros de nuestros clientes, tenemos que prepararnos para posibles ciberataques”.
A dos años de su creación, Monument está seguro de que su infraestructura en la nube está protegida a pesar de no contar con un equipo de seguridad dedicado. Como parte de su estrategia, Monument apunta a la seguridad desde la concepción. “Hemos estado haciendo eso desde el primer día en nuestra aplicación, pero con AWS, no había nada que pudiéramos conectar y hacer que eso suceda”, comenta Law.
Todo comienza con visibilidad
A medida que los desarrolladores del banco construían su aplicación en la nube, el equipo de seguridad quería garantizar que se construyera según las especificaciones de seguridad más altas. “Queríamos saber cómo podíamos tener garantías cuando esos mismos desarrolladores eran también la gente que construía y configuraba las herramientas de seguridad nativas en AWS”, dice Law.
Monument adoptó una moderna arquitectura de software nativo en la nube que implicaba cero infraestructura local. Además, gran parte de su ecosistema está impulsado por SaaS. "No se trata simplemente de tener un montón de infraestructura tradicional en las instalaciones que ahora funciona en la nube", afirma Law. “Se trata de servicios mucho más modernos, microservicios, una capa de integración entre API, es un tipo diferente de desafío de seguridad, y muchos de los enfoques tradicionales no están diseñados para este tipo de entorno”.
Fácil implementación, resultados rápidos
Monument tenía un bache de conocimiento que necesitaba para cerrar. “La seguridad cambia todos los días. No tengo el tiempo ni los conocimientos para hacer mis propias auditorías de AWS”, comenta Law. Inicialmente, el equipo intentó que empresas de pruebas de penetración más tradicionales hicieran evaluaciones, pero estas no proporcionaron suficiente rendimiento de la inversión. Monument incluso consideró contratar a un ingeniero de seguridad de AWS, pero es un recurso muy caro.
Después de explorar otras opciones, echaron un vistazo a Wiz. "Realmente me quedé impresionado por lo fácil que fue implementar Wiz y lo inmediato que fue ver los beneficios, al punto que le dije al CTO: 'Si no lo compras, renuncio, porque no puedo hacer mi trabajo sin esto'". Dice Law: “Básicamente eso fue 20 minutos después de que comenzamos con el POV”.
La potencia del POV de Wiz fue que es tan rápido y fácil de configurar. No iba a ser un proceso de tres meses; estaba funcionando en una tarde.
Law se vio alentado por los rápidos beneficios de la implementación. “En un par de horas a partir de la implementación, Wiz detectó brechas de seguridad y problemas de los que no estábamos al tanto, pero pudimos ponernos a trabajar para solucionarlos inmediatamente”, dice Law.
Priorización simplificada
Law cuenta con Wiz para que detecte combinaciones tóxicas y enumere los riesgos críticos de manera que su equipo pueda priorizar los problemas críticos que deben resolverse. “El sistema de puntuación de riesgos de Wiz crea trabajo accionable”, dice Law.
Como una empresa en sus comienzos, no podemos solucionar cada problema inmediatamente, no tenemos esa capacidad. Wiz nos permite dar prioridad rápidamente a los cambios que deben hacerse.
El panel de control de Wiz proporcionó al equipo de Monument Bank una visión completa de su entorno por primera vez. "Siempre ha estado en AWS, pero nosotro nunca pudimos verlo", comenta Law. "A medida que hemos intentado alinear a la dirección y explicar lo que Wiz nos dice, el Gráfico de Seguridad, y específicamente la visualización de los problemas, fue de gran ayuda para comprender cuál es el problema y su alcance".
Monument está operacionalizando Wiz mediante la integración con Jira para crear automáticamente tickets para riesgos críticos para que puedan ser abordados rápida y fácilmente por los desarrolladores. Además, Wiz proporciona un contexto accionable para que los equipos puedan identificar, priorizar y remediar esos problemas basándose en cuál es la mayor amenaza para el entorno. “Nos evita tener que ir a crear los tickets y libera a mi equipo para que centre su atención en los problemas más críticos que deben priorizarse”.
Más allá de desplazarse a la izquierda para arreglar problemas temprano en el proceso de desarrollo y poner en marcha protecciones para mantener la consistencia a largo plazo, Monument también acudió a Wiz para una revisión de su proceso de gestión de riesgos. “Wiz nos permitió crear un proceso de parcheo que funcionaba en todos nuestros contenedores, aplicaciones, paquete de sistema operativo, parches AMI, y en cualquier otro lugar donde fuera necesario. Se trataba de hacer bien el proceso e identificar un cambio estratégico, incluso en la forma en que hacemos nuestra gestión de contenedores, para permitir un parcheo mejor y más simple”.
Un enfoque diferente para la seguridad
Law y el equipo creían que estaban haciendo las cosas bien pero no tenían manera de demostrarlo. Wiz rápidamente les dio la seguridad que necesitaban. “Obviamente, encontramos algunas cosas que debíamos cambiar, así que pasamos por un proceso muy rápido de entender lo que estaba bien y lo que estaba mal, y arreglamos lo que estaba mal”, afirma Law. “Ahora podemos tratar de madurar este enfoque e insertarlo como una forma sostenible y a largo plazo de incorporar la seguridad a nuestros procesos de desarrollo y de sitio”.
Law señala la importancia de utilizar una herramienta que permita a los desarrolladores tener una participación significativa en la conversación sobre la seguridad. “Wiz puede destacar los hallazgos en los que no necesariamente entienden dónde está el riesgo”, dice Law. “Wiz hace un buen trabajo al explicar, de una manera comprensible, por qué le da a algo la calificación que le está dando”.
Para Law el mayor beneficio ha sido tener conversaciones sobre por qué algo era realmente un riesgo, entender con el tiempo cuáles son esos riesgos y darse cuenta de lo que hay que priorizar. “La visibilidad que se logra a través del Gráfico de seguridad de Wiz ayuda mucho con eso. El foco en las combinaciones tóxicas y las descripciones que las acompañan es comprensible para un público que no sabe sobre seguridad, y resalta por qué esta combinación en particular es algo que se debe abordar”.
El cumplimiento es otro desafío que Monument tiene por delante. “Estamos implementando un enfoque maduro para determinar nuestro riesgo en el mundo real, no una lista de verificación arbitraria”, sostiene Law. “Nos estamos tomando el tiempo de examinar las normas de cumplimiento y lo que ya tenemos en marcha y de empezar a sentar las bases para conseguir que nuestro entorno cumpla con las normas. La previsibilidad que tenemos es increíblemente útil, ya que eliminará gran parte del tedioso trabajo manual de ese proceso”.
Wiz nos permite ver la causa principal de algunos de nuestros problemas, y cómo podemos arreglar rápidamente algunos de estos problemas con relativa facilidad. Mucho de lo que hemos encontrado es evitable, siempre y cuando se detecte temprano.
Para Monument, Wiz cumple el papel de ingeniero de seguridad y empodera a los desarrolladores y al equipo de seguridad para que trabajen más estrechamente a fin de identificar los cambios fundamentales que deben hacerse. “Es posible que aún, algún día, necesitemos un ingeniero de seguridad. Pero con Wiz automatizando las tareas más manuales, pueden trabajar en capacidades más avanzadas”, dice Law.
¿Quieres saber cómo tu programa de seguridad en la nube puede lograr los mismos resultados que Monument Bank? Echa un vistazo de cerca a las soluciones de seguridad en la nube para servicios financieros de Wiz.
