Revolut permite la seguridad contextual y centrada en el usuario Wiz

Revolut, una de las aplicaciones de dinero más conocidas de Europa, está mejorando su respuesta a posibles amenazas con informes claros y concisos que crean el foco en un equipo de ingeniería grande y en rápido movimiento.

Revolut

Industry

Servicios financieros

Region

Europa

Cloud Platforms

GCP
¿Listo para empezar?
Solicita una demo

Desafío 

  • Revolut quería una solución que proporcionara menos alertas y más inteligentes para resaltar problemas reales que requieren una atención cuidadosa. 

  • Revolut necesitaba crear una asociación colaborativa y flexible entre los equipos de seguridad e ingeniería.  

  • Con grandes volúmenes de nuevas funciones constantemente en producción, se necesitaba una visibilidad automatizada más inteligente para instituir mejores políticas de referencia. 

La solución

  • Revolut utilizó Wiz para priorizar las amenazas más críticas y proporcionar un contexto procesable que permitiera a la seguridad y a los desarrolladores centrar mejor su tiempo.  

  • Revolut instituyó un nuevo comité multifuncional para discutir rutinariamente nuevos problemas de seguridad, con el apoyo de paneles e informes de Wiz. 

  • Revolut instituyó controles personalizados que se alinean con las políticas de seguridad e integró Wiz con Jira, creando tickets automatizados para remediar las vulnerabilidades identificadas más rápido.  

Asegurar una aplicación financiera de rápido crecimiento

Revolut ayuda a más de 30 millones de clientes en 40 países a gastar, ahorrar e invertir para construir un futuro financiero mejor. Permite a las personas gestionar todas sus actividades financieras desde una única plataforma, desde el cambio de divisas hasta las transferencias de fondos y las inversiones. 

El crecimiento acelerado ha hecho que el equipo de Revolut se expanda de cientos a miles de empleados en ocho años, con cerca de 1.000 ingenieros trabajando en múltiples proyectos y actualizaciones de funciones a la vez. ​

"Cuando te conviertes esencialmente en una empresa, hay nuevos tipos de procesos que necesitas establecer", dice Uros Solar, Jefe de Operaciones de Seguridad y Seguridad de TI en Revolut. "Trae muchos cambios, especialmente en un entorno de rápido crecimiento donde se agregan muchas características nuevas constantemente". 

Desde su fundación, Revolut ha operado como una operación profundamente nativa de la nube en Google Cloud, con un pequeño número de sistemas locales para cumplir con ciertos requisitos normativos. Pero con un enfoque en la construcción de una operación sin servidor y en contenedores, la compañía está preparada para aprovechar las nuevas oportunidades a medida que cambian las necesidades de los clientes. 

Reducción del ruido, reducción de la fricción 

Con sus sistemas de escaneo tradicionales, el equipo de seguridad de Revolut descubrió que simplemente se generaba demasiado ruido. Los altos volúmenes de alertas y tickets provocaban demasiado trabajo manual, así como fricciones innecesarias entre los equipos de seguridad e ingeniería.

​​"Es importante que la seguridad sea un facilitador del negocio y no limite negativamente el progreso, sino que equilibre el riesgo y los beneficios de manera adecuada", dice Solar. "Lo mejor es decirles a los usuarios finales lo que realmente está sucediendo y cuáles son los riesgos reales y luego ver cómo podemos mitigarlos en un entorno del mundo real".    

Este impulso para construir una mejor comunicación fue lo que motivó la búsqueda de Revolut de una solución que diera visibilidad y contexto a su entorno. Un enfoque más específico ayudaría a Revolut a construir una base para conversaciones iterativas entre los equipos de ingeniería y seguridad para abordar las vulnerabilidades y los riesgos. 

La seguridad es como un sistema inmunológico de la organización. Necesita evolucionar con la función primaria del organismo. Si no lo hace, pronto se volverá obsoleto para su propio propósito.

Informes atractivos y perspicaces 

Al pasar a Wiz, Solar admite que "instantáneamente se enamoró de la forma en que se presentan los problemas". Revolut descubrió que Wiz ofrecía un valor inmediato. "La facilidad de integración fue bastante alta", dice Solar. "No esperaba que hubiera mucho valor del producto tan pronto como nos integramos. Fue una grata sorpresa". 

Más allá de las simples alertas, Revolut apreció cómo Wiz no solo señalaba los problemas, sino que también ofrecía recomendaciones sobre cómo se podía resolver cualquier problema.  

"Wiz nos otorga la capacidad de mostrar los problemas de una manera atractiva y bastante interesante para la organización en general", dice Solar. "Wiz realmente parece entender una empresa como la nuestra, y da mucha supervisión de inmediato, guiando a alguien a profundizar en un problema para comprender realmente qué, dónde, cuándo y cómo se puede explotar". 

Revolut ahora está utilizando Wiz para identificar de manera proactiva posibles vulnerabilidades y configuraciones incorrectas, para monitorear el cumplimiento en PCI y SOC2, y para detectar vulnerabilidades críticas como malware. El equipo de seguridad también ha instituido controles personalizados que se alinean con las políticas de seguridad, enviando alertas automatizadas directamente a los ingenieros para mitigar el riesgo.  

Si bien Revolut tuvo éxito con la integración de Wiz en sus procesos, el equipo de seguridad también se esforzó por mejorar la cultura de seguridad general de la organización. 

"No queremos tomar todas las decisiones dentro de la seguridad", dice Solar. "La seguridad lo toca todo, pero nunca seríamos expertos en la materia en todo. Necesitamos escuchar otros puntos de vista y también tomar otras aportaciones para considerar si un problema potencial dado debe tratarse como un problema real o no". 

Siempre se trata de escuchar el ritmo de la organización, ser flexible, saber qué está pasando y cómo facilitarlo y habilitarlo. Necesitamos saber mucho sobre muchas cosas. De lo contrario, no podemos asegurarlo.

Para ello, Revolut organiza reuniones periódicas entre las partes interesadas clave y los equipos de seguridad. "No queremos crear tickets para las personas sin que formen parte de la conversación, incluyéndolos en el proceso de gestión de vulnerabilidades desde el principio, incluso antes de que los problemas generen un ticket", dice Solar.  

La claridad contextual ofrece una mitigación más rápida 

Por ejemplo, Wiz pudo vincular las cuentas de servicio con el acceso a los datos subyacentes que habilitaban, lo que garantizó que los problemas relevantes se asociaran adecuadamente para revelar exactamente qué sistemas y conjuntos de datos estaban en riesgo. 

"Comprender cuándo una cuenta de servicio en particular puede ver los activos en diferentes proyectos o entornos ayuda a identificar si una cuenta puede tener más permisos de los que esperaría que tuviera y cómo se relaciona eso con las implementaciones y los activos activos", dice Solar. Al destacar estos problemas en un solo lugar, los equipos de Revolut comprendieron de inmediato cómo reducir los permisos a las funciones básicas. 

Con Wiz proporcionando automáticamente dicha información, Solar ve una reducción significativa en el tiempo y el esfuerzo de los investigadores de seguridad que necesitan perseguir manualmente los detalles de los ingenieros sobre para qué se usa una cuenta determinada, para que pueda pasar a la fase de mitigación sin demora. 

Poner los problemas en contexto muestra cómo pueden encadenarse para crear un gran problema, pero siempre fue un problema cuando se identificaron de forma independiente. Hacer que Wiz sepa automáticamente cómo se relacionan los problemas con los activos subyacentes es extremadamente poderoso.

Para Revolut, la claridad y el enfoque aportados por Wiz han respaldado el esfuerzo del equipo por generar confianza entre los equipos de seguridad e ingeniería. Después de haber creado nuevos comités multifuncionales que se reúnen para discutir el progreso en los controles de seguridad y cumplimiento, Revolut ve que está logrando su objetivo de hacer de la seguridad un facilitador de apoyo para los excelentes servicios al cliente. Además, Solar puede utilizar el panel de control para mostrar a los altos directivos de ingeniería hasta qué punto se están rectificando las vulnerabilidades. "Es importante presentar lo que estás trabajando de la mejor manera", dice Solar, "Wiz nos ayuda a hacerlo". 

Menos preguntar, más escuchar 

A medida que profundice en el uso de Wiz en toda la empresa, Revolut espera continuar su impulso para incluir al personal en el proceso de decisión de seguridad. "Queremos tener en cuenta la información porque muchas veces el usuario entenderá el contexto más que nosotros", dice Solar. "La mayor parte del trabajo de investigación consiste en preguntar al personal qué piensan sobre los acontecimientos. Queremos minimizar la necesidad de hacer preguntas nosotros mismos y, sobre todo, escuchar las respuestas a medida que pasan por un mejor proceso. Básicamente, siempre se trata del contexto". 

¿Quiere saber cómo su programa de seguridad en la nube puede lograr los mismos resultados que Revolut? Echa un vistazo de cerca a las soluciones de seguridad en la nube para servicios financieros de Wiz.

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

“La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube.”
David EstlickCISO
“Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube.”
Adam FletcherJefe de Seguridad
“Sabemos que si Wiz identifica algo como crítico, en realidad lo es.”
Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades