Défi
Une architecture multicloud complexe gérée par plusieurs équipes rendait difficile la mise en place de processus de sécurité clairs et cohérents.
En tant que société en pleine croissance, AppsFlyer devait s'assurer qu'elle pouvait protéger son environnement cloud sans que la sécurité fasse obstacle à la productivité et à l'efficacité des développeurs.
AppsFlyer avait besoin d’une solution de sécurité facile à déployer et à gérer à grande échelle, capable d’offrir une visibilité approfondie et contextualisée sur les risques de sécurité.
Solution
AppsFlyer a opérationnalisé la gestion de la sécurité dans son large éventail d’environnements cloud et de types de charges de travail à l’aide d’un seul outil CNAPP.
En analysant l’infrastructure en tant que code (IaC) à la recherche de risques de sécurité avant qu’ils ne soient appliqués, AppsFlyer a permis aux équipes de développement de prendre un virage à gauche.
AppsFlyer a obtenu une visibilité complète sur son infrastructure grâce à Wiz'Capacités d’analyse sans agent et tableau de bord de sécurité centralisé.
Renforcer la sécurité dans une organisation qui évolue rapidement
Un des plus grands défis pour toute équipe de marketing est l'attribution. Il est particulièrement difficile d'établir un lien entre un retour sur investissement (ROI) et des campagnes publicitaires spécifiques, et AppsFlyer fournit des paramètres de performance de campagne pour aider les entreprises à maximiser la valeur vie client. Ces défis du ROI sont si courants, en fait, qu'AppsFlyer a connu une croissance exponentielle au cours des dernières années. L'organisation a presque doublé ses effectifs et compte près de 400 développeurs.
Ces équipes travaillent également sur une infrastructure cloud en pleine expansion. Leur environnement cloud fonctionne sur plus de quatre fournisseurs de cloud, traite plus d’un milliard d’événements de calcul quotidiens et utilise plus de dix langages de programmation différents. Cela a représenté un défi de taille pour son équipe de sécurité qui s’efforce de protéger l’infrastructure en pleine croissance. « Nous avons connu une croissance phénoménale », déclare Danny Robinson, responsable de l’ingénierie de la cybersécurité chez AppsFlyer. « Nous devions réfléchir à une stratégie de sécurité d'entreprise qui nous servirait aussi bien pour 1 000 employés que pour 5 000. »
Nous combattions les incendies parce qu’il fallait les éteindre, mais ce dont nous avions vraiment besoin, c’était une stratégie. Et cette stratégie devait inclure de nouvelles façons d'aider nos équipes à se connecter et à travailler ensemble.
Pour répondre à ces nouveaux besoins, AppsFlyer a fait appel à une nouvelle RSSI, Dikla Saad Ramot, afin d’unifier ses processus de sécurité existants. Pour centraliser le programme de sécurité de l’entreprise avec cette équipe, il fallait passer d’une sécurité basée sur les projets à une approche plus stratégique et basée sur les risques. Au lieu de cela, l'équipe voulait réduire le temps consacré à la recherche manuelle de vulnérabilités et connecter ses outils disparates.
De plus, l'organisation a constaté que son équipe de sécurité, subdivisée en équipes d'ingénierie, d'opérations et de gouvernance, avait besoin d'un moyen de communication plus direct. « Nous avons dû apprendre à parler la même langue lors de nos réunions hebdomadaires et à réagir rapidement aux problèmes », explique Robinson. AppsFlyer avait besoin de plus qu’un simple outil ; il lui fallait un partenaire de sécurité pour l’aider à trouver des solutions aux défis de sécurité posés par son environnement cloud tentaculaire et dynamique, notamment en mettant l’accent sur l’analyse IaC. C’est au cours de cette recherche qu’AppsFlyer a découvert Wiz.
Décaler vers la gauche en modifiant les priorités en matière de sécurité
Sachant que l’équipe souhaitait améliorer la visibilité, la communication et la collaboration, elle a d’abord adopté Wiz comme solution CSPM pour simplement surveiller son infrastructure tout en utilisant d’autres solutions de remédiation. Avec l’environnement multi-cloud d’AppsFlyer, qui comprend une infrastructure en tant que code (IaC) étendue telle que des machines virtuelles, des applications conteneurisées hébergées sur Kubernetes et des conteneurs autonomes, l’équipe a également dû unifier la surveillance et la correction pour créer des processus de déploiement plus fluides.
La consolidation de sa gestion de la sécurité a conduit AppsFlyer à adopter Wiz pour la numérisation IaC afin de tirer parti de plus de fonctionnalités au sein d’un seul outil et de centraliser davantage sa solution CNAPP. « Nous voulions implémenter l’IaC dans nos pipelines, mais pour bien faire les choses, nous devions analyser facilement nos déploiements d’infrastructures critiques », explique Robinson. « Avec Wiz, toutes nos analyses s’exécutent au même endroit, et nous avons une vision plus claire et plus holistique de notre posture de sécurité. » Le fait de fournir à l’équipe des informations plus contextualisées et ciblées sur ses risques a permis à AppsFlyer d’obtenir une vue plus globale de sa vaste infrastructure. L’équipe a pu utiliser l’analyse sans agent de Wiz pour libérer du temps afin d’élaborer des stratégies et de concevoir des directives plus explicites pour ce que l’entreprise considère comme une infrastructure valide et sécurisée.
En tant qu’entreprise cloud-native, la sécurité du cloud est un élément essentiel de notre stratégie de sécurité. Travailler avec Wiz pour faire évoluer notre programme de sécurité nous a aidés à suivre le rythme de l’évolution rapide des exigences technologiques et de nos propres capacités à nous adapter à ces changements au fur et à mesure qu’ils se présentent.
Ce changement d’approche a également permis à l’équipe de décaler la sécurité vers la gauche, c’est-à-dire de donner la priorité à l’examen et à la résolution des risques plus tôt dans le processus de développement, et d’améliorer la collaboration entre les équipes d’ingénierie de sécurité et de développement. Grâce à un meilleur contexte de leurs risques sur l’ensemble de l’infrastructure d’AppsFlyer, les équipes ont acquis une meilleure compréhension des risques à prioriser. « Avec notre ancienne solution, nous étions informés de nombreuses vulnérabilités qui n’étaient pas réellement exploitables », précise Robinson. « Notre équipe passait beaucoup de temps à examiner des problèmes qui n'en étaient pas, mais maintenant nous sommes en mesure de comprendre quels sont nos risques les plus importants. »
Opérationnaliser la sécurité pour renforcer les équipes
L’un des objectifs les plus importants d’AppsFlyer était d’utiliser ses nouveaux outils de sécurité pour améliorer la relation entre la sécurité et la recherche et le développement (R&D). Pour y parvenir, l'équipe sécurité savait qu’elle devait partager les informations d’une manière qui n’affecterait pas les délais de production. « Soutenir les relations avec nos équipes R&D est plus important que de résoudre un seul problème. Nous allons remédier aux risques », affirme Robinson. « Le plus important pour nous était de ne bloquer personne. »
L’entreprise a intégré Wiz à sa plateforme de réponse aux incidents pour rationaliser les réponses aux alertes de sécurité et déclencher des workflows de remédiation automatisés créés par l’équipe des opérations d'AppsFlyer. « Wiz nous a aidés à changer d'avis sur ce qu'une plateforme de sécurité fait pour l'organisation, » affirme Robinson.
« Le fait de passer d'une époque où les autres équipes considéraient la sécurité comme un obstacle à aujourd'hui, où ces mêmes équipes viennent nous voir pour discuter avec nous, c'est un changement important », ajoute Doron Schwartz, ingénieur DevSecOps chez AppsFlyer. « Nous pouvons plus facilement travailler ensemble pour discuter de la manière dont ils peuvent démarrer des projets en toute sécurité. »
Nous avions besoin d'une vision holistique de toute notre infrastructure cloud, des applications et du niveau de risque pour chacun de ces actifs. Il est parfois difficile de savoir où commencer des conversations sur un environnement de cette taille, et nous obtenons cette visibilité avec Wiz en quelques clics.
Grâce à une vision plus complète de son environnement, l'équipe a également été en mesure d'identifier et de résoudre rapidement les problèmes liés à Log4J. « Lorsque Log4J a été attaqué, nous n'avons pas eu besoin de lancer l'analyse, Wiz l'a fait automatiquement », ajoute Robinson. « Nous avons pu identifier les équipes en charge, partager les problèmes qu’elles devaient résoudre et les orienter vers les fichiers impactés, le tout en un seul endroit. »
Cette approche à guichet unique a également simplifié le reporting. « Lorsque nous sommes interrogés sur la posture de sécurité d’AppsFlyer, nous pouvons fournir des chiffres absolus qui parlent d’eux-mêmes, et lorsque nous en avons besoin, nous avons également des réponses contextualisées sur notre état de sécurité », explique Robinson. « Nous n’avions pas la possibilité de le faire auparavant, et cela a fait une énorme différence dans la façon dont nous partageons l’information. »
Entrez dans une nouvelle ère de la sécurité avec AppsFlyer
Bien que la collaboration entre les équipes de sécurité d’AppsFlyer continue de s’améliorer, la société cherche des solutions supplémentaires pour rendre le processus encore plus fluide. Il est notamment question d’intégrer son analyse d’exécution dans Wiz avec le capteur d’exécution afin d’obtenir encore plus de contexte sur les raisons pour lesquelles une vulnérabilité est exploitable et de réduire davantage le temps consacré à la correction des risques inutiles. Cela sera particulièrement important dans le monde des machines virtuelles et des images Docker pour sécuriser davantage ses applications conteneurisées en direct.
