Desafíos
Tide necesitaba mejorar su capacidad para realizar un seguimiento de lo que se implementaba en sus múltiples cuentas de AWS en contenedores y limpiar los recursos heredados que ya no eran necesarios.
A medida que Tide continuaba madurando su infraestructura en la nube, se descubrían problemas en producción que podrían haberse solucionado antes de que llegaran a dicho entorno.
Tide utilizaba una herramienta de CSPM que producía un sinfín de alertas, pero pocas eran relevantes para la forma en que Tide operaba su infraestructura.
Soluciones
Tide obtuvo una visión más amplia de lo que estaba sucediendo en sus contenedores y sistemas heredados que costaban dinero y eran vulnerables a amenazas externas.
Desde el origen hasta la producción, Tide automatizó las protecciones para alertar a los desarrolladores de problemas en las primeras etapas de su compilación y solucionarlos antes de que afectaran los flujos de trabajo de producción.
Tide pudo reducir el número de falsos positivos y priorizar sus problemas más críticos utilizando información contextualizada procesable proporcionada por Wiz.
Empresa pequeña, seguridad grande
Tide es el principal retador de banca empresarial digital en el Reino Unido que brinda servicios financieros para MSME y una de las empresas tecnofinancieras de más rápido crecimiento a nivel mundial. Desde 2015, la compañía ha permitido que más de 500.000 pequeñas y medianas empresas obtengan acceso instantáneo a herramientas financieras que incluyen nómina, contabilidad automatizada, facturación, financiamiento de facturas y más. Desde mayo de 2023, la empresa tiene más del 9 % de la cuota de mercado del Reino Unido. En este contexto, el Director de Seguridad de la Información de Tide, Ben Dewar-Powell, y su equipo reconocen la enorme importancia de una plataforma rápida, estable y segura para todos los miembros de Tide.
Para el equipo de Seguridad de Productos y Plataformas, dirigido por Ashleigh Vincent, es fundamental brindar consultoría para asegurarse de que los desarrolladores integren el diseño seguro desde la concepción del proyecto hasta la implementación. “Se trata de apoyar y empoderar a los desarrolladores”, afirma Vincent. “Evitamos ser un bloque y el equipo de seguridad del 'No'. En su lugar, nos centramos en proporcionar comentarios útiles para que los desarrolladores entiendan lo que se está planteando, lo que se planteará y cómo solucionarlo o evitarlo”.
Mitigación del riesgo en los contenedores
Tide está alojado en AWS y opera una nube moderna en contenedores que brinda más agilidad en torno a las aplicaciones y la estructura de costos y, al mismo tiempo, presenta desafíos naturales. El entorno consta de diferentes cuentas de AWS debido a razones normativas, regionales y operativas. Es fundamental comprender dónde residen las vulnerabilidades en un contenedor específico, para orientar las respuestas y solucionar rápidamente los problemas. “Necesitas tener visibilidad y comprender lo que se está implementando en tu nube, en lugar de aplicar los viejos paradigmas de seguridad basados en servidores”, dice Vincent. Antes de Wiz, Tide utilizaba el escaneo de contenedores dentro del proceso, que implicaba la creación de un contenedor, el escaneo, la alerta sobre vulnerabilidades y, finalmente, la clasificación. “Este enfoque no necesariamente te dice si ese contenedor se está ejecutando en algún lugar”, agrega Vincent.
Al principio, para obtener una imagen completa de la infraestructura en la nube de Tide, los sistemas tuvieron que revisarse manualmente antes de probar una serie de diferentes herramientas comerciales y de código abierto. Pero solo generaron mucho ruido y hallazgos que requirieron un examen cuidadoso para sacar a la luz lo que era crítico para Tide. “Las herramientas alertaban sobre algo que estaba integrado por diseño, y no sobre un problema”, recuerda Vincent. Esto supuso una carga inaceptable para el equipo de seguridad de Tide.
Se trata de descubrir cómo personalizar lo que realmente te importa. Si está a cargo de un equipo de seguridad reducido en una empresa con muchos ingenieros, es fundamental incorporarlo.
Empoderar a los desarrolladores al convertirse en un asesor de confianza
Vincent inculca una mentalidad que prioriza la seguridad sin decirles a los ingenieros lo que pueden hacer mejor. “El objetivo principal es automatizar la mayor parte posible del trabajo manual. Queremos allanar el camino hacia el éxito y dar a los ingenieros la libertad de innovar”.
Los desarrolladores necesitaban advertencias tempranas de que su código, si se implementaba, podría presentar problemas. Y lograr que utilizaran regularmente una herramienta de seguridad en la nube requería trabajo. No era parte de su flujo de trabajo diario y creaba más tareas. Wiz podía integrarse con los sistemas de emisión de tickets y un ingeniero podría detectar un problema, generar un ticket y notificar al propietario del producto sobre los cambios. “Nuestro objetivo es pasar a un modelo en el que, si hay algo mal, nos lo haga saber a tiempo y podamos impulsar el cambio a partir de ello”, comenta Vincent.
Wiz elimina las molestias y la necesidad de pensar. Lo conectas a tus cuentas y puedes ver las 10 cosas principales de la nube de las que debes preocuparte.
Una solución personalizada y automatizada
Tide vio el valor de consolidar varias herramientas en una sola solución para obtener una visibilidad completa de sus entornos en contenedores. Esto permitió a la empresa ahorrar tiempo y evitar la gestión de múltiples sistemas para abordar problemas. Con una visión integral de su entorno en la nube, el equipo de seguridad y los desarrolladores ahora pueden obtener una mejor comprensión de lo que necesita atención.
Tide creó protecciones para que los ingenieros trabajaran con Wiz, y con la integración de la emisión de tickets, los problemas pudieron abordarse con menos fricción. “Con la capacidad de usar una sola herramienta, pude crear la misma automatización desde el backend; de lo contrario, tendría que crear dos conjuntos diferentes de automatización que alerten de manera ligeramente diferente”, dice Vincent. "Habría sido el doble de trabajo para mi equipo con una herramienta diferente".
Wiz es mucho más que un proveedor de CSPM. Comprueba muchas otras casillas. Escaneo de vulnerabilidades en las imágenes de disco, escaneo de contenedores y escaneo perimetral.
Adelantarse a los problemas
Con Wiz, Tide puede identificar y eliminar el riesgo antes de que se convierta en un obstáculo. Priorizar solo las vulnerabilidades más críticas y las configuraciones incorrectas también significó silenciar los falsos positivos: los equipos ahora pueden concentrarse en un trabajo más importante. "Solo vemos los que realmente nos importan y que están ejecutando en nuestro entorno de producción. Y con la advertencia temprana, los defectos nunca llegan a la producción", dice Vincent.
Reducción del tiempo de detección
El equipo de seguridad de Tide se beneficia de la capacidad de Wiz para buscar exposiciones antes de que se conviertan en problemas mayores. Vincent pudo advertir a los equipos internos del impacto potencial de una reciente vulnerabilidad de OpenSSL antes de que se anunciaran los detalles técnicos. "Pude ver que iba a haber una vulnerabilidad en esta versión de OpenSSL y buscar dónde se estaba ejecutando en nuestra infraestructura", dice Vincent. "Pudimos advertir a todos los equipos para que lograran planificar con anticipación".
Tide alertó solo a los equipos afectados si había algo presente en sus contenedores. "No solo pudimos ver los contenedores construidos en nuestros canales que contenían la vulnerabilidad, sino que pudimos ver exactamente cuáles se verían afectados en los próximos días. Lo que Wiz te ahorra no es el tiempo de corrección, sino el tiempo de descubrimiento, que es muy valioso".
Tide está utilizando el escáner dinámico de Wiz para capturar automáticamente una captura de pantalla e información básica para cada nuevo recurso público y publicarlo en un canal de comunicación interno. Esto permite a los ingenieros ver fácilmente cada parte del perímetro de Tide orientado a Internet y comunicar los cambios fácilmente.
Sacar a la luz los detalles técnicos con los ejecutivos y los responsables de la toma de decisiones cuando no se siguen las mejores prácticas puede ser difícil. Sin embargo, la sencillez de la interfaz de Wiz, ayuda. "Ahí es donde los bonitos gráficos de Wiz son útiles", dice Vincent. "Sin entrar en demasiados detalles, puedo mostrar un gráfico que va en la dirección correcta, y tiene sentido".
Fomentando innovación
Tide está utilizando Wiz para permitir que los ingenieros que están experimentando con nuevas tecnologías descubran posibles errores de configuración de seguridad en la fase de prueba. "Les ayuda a pensar en cómo van a construir", dice Vincent. "El trabajo se lleva a cabo en la cuenta de pruebas, en la que Wiz puede ver y señalar cualquier preocupación presente en su interior".
Además, el equipo quiere apoyarse más en la funcionalidad del proyecto de Wiz y en la capacidad de dividir varios proyectos en función del dominio. Los desarrolladores pueden etiquetar sus propios contenedores e infraestructura de AWS y obtener una vista enfocada solo de su dominio. "Ese es el siguiente paso a medida que maduramos con Wiz", dice Vincent. "Animará a los desarrolladores a usar la interfaz, porque solo verán lo que necesitan abordar".
¿Desea saber cómo su programa de seguridad en la nube puede lograr los mismos resultados que Tide? Echa un vistazo de cerca a las soluciones de seguridad en la nube para servicios financieros de Wiz.
