Desafío
El vasto conjunto de productos de Zendesk requiere una gran huella en la nube para mantenerse, y la empresa luchó por mantener la visibilidad en todo su entorno multinube.
Los equipos de desarrollo tenían libertad para crear y escalar rápidamente, pero carecían de información sobre la importancia o la ubicación de las vulnerabilidades cuando eran señaladas por seguridad.
Las herramientas de seguridad desconectadas requerían especialistas dedicados para su mantenimiento y supervisión, lo que quitaba tiempo y recursos a los proyectos de mayor valor.
La solución
Zendesk obtuvo una visibilidad completa de su entorno en la nube y centralizó la seguridad en todos sus equipos de desarrollo y seguridad en la nube
Al aprovechar las recomendaciones y los conocimientos priorizados de Wiz, los equipos de desarrollo de Zendesk ahora pueden ser propietarios de sus activos específicos desde una perspectiva de seguridad y centrar su atención en las vulnerabilidades críticas.
Zendesk protege de forma proactiva sus imágenes de contenedores y configuraciones de IaC en desarrollo, para que los ingenieros puedan dedicar tiempo a crear nuevos productos y funciones.
Consolidated visibility
across a complex environment into a single pane of glass
Eliminated 96%
of critical vulnerabilities
Improved collaboration
across security and development teams with 1,200+ Wiz users
Convertirse en un líder de la industria multinacional
Los cofundadores de Zendesk —Morten Primdahl, Alexander Aghassipour y Mikkel Svane— construyeron la primera versión de la solución digital de atención al cliente y servicio en un pequeño apartamento de Copenhague en 2007. En sus primeros meses, tenía casi 1.000 clientes de prueba, en 2009 ya estaba financiada y hoy es una organización multimillonaria con más de 6.000 empleados en todo el mundo. Su conjunto de productos incluye una amplia gama de soluciones de servicio y ventas, cada una con sus propias herramientas dedicadas.
Para respaldar este ecosistema y dar a sus clientes el poder de brindar excelentes experiencias a los clientes, la empresa requiere un entorno de nube en continuo crecimiento. Esto incluye varios de los principales proveedores de nube, almacenamiento en contenedores, clústeres de Kubernetes y más de 10k máquinas virtuales (VM) que impulsan 800+ servicios en toda la plataforma. Con un entorno tan complejo, la empresa luchaba por mantener la visibilidad en cada rincón, y sus herramientas de seguridad requerían el apoyo de especialistas que luego no podían dedicar su tiempo a diseñar nuevas soluciones. Zendesk sabía que necesitaba simplificar y automatizar para escalar la seguridad junto con su infraestructura en la nube.
Además de estos desafíos técnicos, Zendesk quería fomentar una mayor colaboración entre los equipos de ingeniería y desarrollo. Con 30 ingenieros de seguridad de productos y casi 2.000 ingenieros de software, era difícil para su pequeño equipo de seguridad gestionar todo por sí mismo. "En un entorno tan grande, nadie puede saberlo todo", dice Andrew Wagner, director de ingeniería de Zendesk. "Para abordar los problemas de manera efectiva, la seguridad y los desarrolladores tienen que colaborar. Mi equipo tenía que ser capaz de llevar un problema a seguridad y pedir su opinión, no solo esperar instrucciones". En este cambio hacia una estrategia de seguridad más proactiva, la visión de Zendesk se puso a prueba cuando necesitó descubrir rápidamente vulnerabilidades relacionadas con Log4Shell.
Solíamos ser una organización de seguridad muy reactiva, pero nuestro objetivo actual es crear productos seguros por diseño para mantener y mejorar gradualmente esos estándares. Wiz nos da información sobre dónde están los riesgos, para que podamos corregir los errores de configuración y reducir la posibilidad de que vuelvan a ocurrir
La empresa estaba evaluando nuevas soluciones de seguridad cuando se enteró de la existencia de Log4Shell, pero sin una forma de ver fácilmente todo su entorno en la nube, era imposible encontrar posibles exposiciones de manera eficiente. "Con Wiz, podíamos ver todo en nuestro entorno y dónde estábamos ejecutando Log4Shell", dice Koen Hendrix, director de seguridad de productos de Zendesk. "Nuestra confianza en nuestro inventario y cobertura en la nube pasó de quizás el 60% al 100%. Pudimos ver todas nuestras brechas y pudimos comenzar a cerrarlas de la noche a la mañana. Sabíamos cómo mover la aguja en nuestra postura de seguridad, y eso hizo que Wiz fuera una elección fácil".
Descubrir puntos ciegos para ampliar la cobertura de seguridad
Una vez que Zendesk decidió implementar Wiz, pudo implementarlo de forma rápida y sencilla porque su equipo de seguridad no necesitó instalar agentes en su nube. "Wiz nos dio la capacidad de implementar y revisar nuestra huella rápidamente", dice Wagner. "Pudimos descubrir puntos ciegos en nuestros datos de VM y en todos nuestros entornos sin tener que improvisar una solución a partir de fuentes dispares".
Con la visibilidad y las herramientas consolidadas en un solo panel, Zendesk puede ser plenamente consciente de los riesgos y adoptar un enfoque más proactivo de la seguridad en la nube. "Tenemos más conciencia de la tecnología que utilizan nuestros ingenieros, podemos proporcionar actualizaciones constantes del estado de cumplimiento y tenemos todo en un solo destino", dice Hendrix. "Gracias a eso, podemos encontrar y abordar los riesgos más rápido que nunca y dedicar más tiempo a proyectos de mayor valor". Desde la implementación de Wiz, la empresa ha reducido las vulnerabilidades de los acuerdos de nivel de servicio en un 95 % y ha corregido el 96 % de sus vulnerabilidades críticas totales.
Cuando ocurrió Log4Shell, estábamos probando Wiz, y el equipo trabajó en estrecha colaboración con nosotros para ayudar a revisar toda nuestra nube en busca de vulnerabilidades. Después de ver el gráfico de seguridad, supe que era el adecuado. Wiz es la única herramienta de proveedor por la que, personalmente, he abogado firmemente en Zendesk porque sabía que resolvería nuestro problema.
Dado que Zendesk tiene más contexto en un solo lugar, los equipos de seguridad e ingeniería también pueden tomar decisiones más informadas sobre cómo y dónde dedicar el tiempo y qué problemas son los más importantes para solucionar. Los equipos pueden hacer referencia fácilmente a etiquetas, metadatos y recomendaciones de priorización integradas de Wiz para tener una comprensión completa de los matices de problemas específicos. Esto significa que los ingenieros que poseen activos y proyectos específicos pueden aportar sus conocimientos y alinearse con la seguridad sobre la mejor manera de resolver un problema. "Digamos que nuestro equipo de ingeniería tiene tiempo para hacer 10 tareas en una semana. Antes, es posible que simplemente les hubiéramos entregado 50 problemas y no supieran por dónde empezar", comparte Hendrix. "Ahora, podemos compartir dos o tres temas específicos y explicar por qué son importantes".
Incorporando la seguridad en cada capa de cada producto
Más de la mitad de las 2.000 personas de la organización de ingeniería de Zendesk ahora usan Wiz, y a medida que más miembros confían en él como fuente de verdad, los equipos de seguridad e ingeniería pueden colaborar mejor utilizando un lenguaje compartido. "Mi equipo'El objetivo es elevar la postura de seguridad de la pila de productos de Zendesk en cada capa del producto", afirma Hendrix. "Eso significa que desde el momento en que un ingeniero tiene una idea hasta que escribe el código y lo implementa en producción, es seguro. Dado que nuestros ingenieros ahora usan Wiz, también pueden volver a nosotros con sus propios hallazgos, y eso ha acercado a nuestros equipos".
Con Wiz CLI, el equipo ha implementado el escaneo de vulnerabilidades para imágenes de contenedores y escanea y crea banderas durante el desarrollo local. Zendesk proporciona a los ingenieros una breve advertencia sobre los errores de configuración antes de continuar, para que puedan adaptarse fácilmente y seguir construyendo. Esto también garantiza que las posibles vulnerabilidades se detecten a medida que ingresan a los entornos de ensayo y no pongan en peligro la producción. "Sabemos que no podemos evitar por completo que las personas construyan una imagen vulnerable, pero si podemos señalar un problema, no tendremos que preocuparnos por un nuevo SLA en el futuro", dice Wagner.
Wiz nos da un lenguaje común entre seguridad e ingeniería. Eso'Es una herramienta a la que todo el mundo tiene acceso, es súper intuitiva y es fácil de aprovechar porque el contexto que necesitamos para trabajar juntos y hacer nuestro trabajo está todo en un solo lugar.
Este enfoque colaborativo para el monitoreo de la seguridad ha permitido a Zendesk cambiar gradualmente su enfoque de seguridad en el código izquierdo y seguro en las primeras etapas del proceso de desarrollo. "Nuestro grupo de seguridad y mis ingenieros ahora pueden ser copropietarios y cogobernar la seguridad de nuestras soluciones porque tenemos una herramienta unificada", dice Wagner.
El equipo ahora también puede monitorear y proteger su entorno para mejorar su cumplimiento con sus asociaciones federales utilizando Sensor de tiempo de ejecución Wiz. "Con Wiz Sensor, podemos evaluar continuamente nuestros marcos de cumplimiento y mostrar fácilmente a nuestros socios que estamos cumpliendo con nuestros requisitos de FedRAMP, SOC II, PCI y otros porque podemos ver todo en tiempo real", dice Wagner. "Esto es invaluable porque podemos mantenernos al día con los estándares a medida que cambian y mantener esas valiosas asociaciones".
Implementación de nuevas medidas de seguridad para una infraestructura en la nube en crecimiento
A medida que Zendesk continúa evolucionando su enfoque de la seguridad en la nube, está considerando el uso de Wiz Defender para mejorar su seguridad en tiempo de ejecución y monitorear vulnerabilidades con un mayor nivel de señal. "Tener visibilidad en tiempo real va a cambiar las reglas del juego porque podemos reducir el tiempo que se tarda en detectar, investigar y contener los ataques en la nube", dice Hendrix.
El equipo también ve a Wiz como una pieza clave de su estrategia continua para desplazarse más a la izquierda. "Queremos ser capaces de escanear cada vez más temprano en busca de errores de configuración y problemas de etiquetas al comienzo de nuestro proceso", agrega Hendrix. "Wiz es una parte fundamental de la maduración de nuestro enfoque de la seguridad".
