FullStory stimule la collaboration et atténue les risques inattendus avec Wiz

FullStory permet à ses ingénieurs de comprendre le contexte des risques tout en identifiant et en atténuant rapidement les menaces critiques imprévues.

FullStory

Industrie

Commerce

Région

Monde

Plateformes cloud

GCP
Prêt à commencer ?
Demander une démo

Défi

  • Le fournisseur de solutions analytiques numériques FullStory souhaitait élargir sa visibilité sur la sécurité du cloud afin d’identifier et d’atténuer les vulnérabilités difficiles à prévoir. 

  • L’équipe de sécurité de FullStory a cherché à favoriser la collaboration à l’échelle de l’entreprise, en intégrant sa philosophie de sécurité dans l’ensemble de l’organisation, pour le bénéfice de tous.  

  • FullStory avait besoin d’une solution capable d’identifier les risques critiques et de générer des alertes hiérarchisées qui ne submergeaient pas la fonction d’ingénierie. 

Solution

  • FullStory met en corrélation les problèmes de sécurité du cloud dans son environnement cloud et active le contexte d’exécution en déployant le Capteur d’autonomie Wiz dans ses clusters Kubernetes. 

  • Grâce aux informations générées par Wiz, l’équipe de sécurité peut mieux expliquer à ses collègues ingénieurs pourquoi les risques doivent être atténués, renforçant ainsi le partenariat et la collaboration. 

  • FullStory utilise Wiz pour différencier les risques critiques et hypothétiques, les faux positifs et les risques faibles/moyens, afin d’optimiser l’allocation des ressources de sécurité. 

Révéler les déclencheurs qui influencent le comportement d’achat des consommateurs 

Fondée à Atlanta en 2014, la société Histoire complète est un leader du marché des logiciels d’analytique numérique pour les entreprises numériques. Sa plateforme offre aux entreprises une image complète de la façon dont les consommateurs utilisent leur site Web, leur application mobile ou leur plateforme logicielle, afin qu’elles puissent améliorer l’expérience client et augmenter les taux de conversion des clients.  

Grâce à sa technologie Session Replay, FullStory permet aux fournisseurs des entreprises numériques de voir quand un client abandonne son panier et pourquoi, ce qui leur donne l’occasion de résoudre les problèmes d’UX. FullStory utilise la technologie de capture automatique pour aider à révéler ces informations, en extrayant les sections pertinentes de HTML nécessaires pour recréer les interactions avec les clients.  

Pour ce faire, l’équipe FullStory utilise Google Kubernetes Engine pour les déploiements de conteneurs, Google Compute Engine pour héberger les machines virtuelles et BigQuery pour le stockage des données.  

Mark Stanislav, vice-président de l’ingénierie de la sécurité, de la gouvernance, des risques et de la conformité chez FullStory, affirme que se concentrer sur un seul fournisseur de cloud est un choix stratégique : « FullStory est ancré dans Google Cloud et l’a toujours été. Une grande sécurité revient finalement à minimiser la complexité. Moins il y a de complexité, plus il est facile d’atteindre vos objectifs. 

Renforcer la fonction d’ingénierie grâce à une collaboration renforcée 

L’amélioration de la relation entre les équipes d’ingénierie logicielle et de sécurité de FullStory était une priorité majeure pour Stanislav lorsqu’il a été promu vice-président de l’ingénierie de sécurité en septembre 2022. Sans aucune influence de l’équipe de sécurité, la fonction d’ingénierie de l’entreprise avait déjà créé des processus robustes autour de la conception logicielle des produits, de la création de documents et de l’examen par les pairs. L’équipe d’ingénierie disposait de ses propres processus d’approbation, qui comprenaient une analyse des bloqueurs de risques de sécurité du cloud pour chaque produit.   

Stanislav explique que son objectif est de développer cet environnement et d’habiliter davantage les ingénieurs de FullStory, plutôt que de les bloquer avec des obstacles de sécurité. « Il y a cette culture d’ingénierie rigoureuse et mature chez FullStory », explique-t-il. « Nous embauchons des ingénieurs extrêmement talentueux et réfléchis, nous voulons donc qu’ils se déplacent en toute sécurité, plutôt que de mettre des barrières de sécurité devant eux », explique-t-il. 

Selon Stanislav, chaque déploiement de logiciel FullStory suit un schéma similaire. Cette approche basée sur des modèles garantit une cohérence maximale autour de la création et du déploiement de nouveaux codes. Mais malgré l’équipe d’ingénieurs soucieuse de la sécurité de FullStory et un environnement Google Cloud rationalisé avec des déploiements standardisés, Stanislav et son équipe avaient toujours besoin d’un moyen rapide et efficace d’identifier et d’atténuer les menaces imprévues pour l’environnement cloud de l’entreprise.  

De nombreuses équipes de sécurité deviennent très douées pour sécuriser les choses qu’elles connaissent. Le vrai risque réside donc dans les choses qu’ils ne connaissent pas, ou dans la technologie dont ils ne savaient pas qu’elle avait été déployée. Nous avions besoin d’une solution capable de se concentrer sur les failles de sécurité de notre cloud, les risques aberrants et les inconnues.

Cependant, le défi du déploiement d’une solution de sécurité cloud granulaire est que les équipes de sécurité peuvent être submergées de notifications (y compris des hypothèses et des faux positifs), et ce bruit peut masquer des vulnérabilités critiques. 

L’équipe de Stanislav avait besoin d’une solution qui non seulement hiérarchise les risques critiques, mais qui fournisse également un contexte riche, afin d’expliquer à l’équipe d’ingénierie l’urgence d’atténuer des vulnérabilités spécifiques. Ce niveau d’information partagée renforcerait encore la collaboration au sein de FullStory. 

Tirer parti d’une solution « incroyablement rapide », conçue à partir de zéro 

FullStory a adopté la plate-forme Wiz sur la base d’au moins deux USP. Le premier était la vitesse à laquelle les utilisateurs peuvent interagir avec la plateforme. « Même lorsque vous vous concentrez sur des requêtes très complexes et nuancées, les réponses de Wiz sont incroyablement rapides », explique Stanislav. « Vous pouvez créer à peu près n’importe quel type de demande et Wiz vous répondra presque immédiatement. D’autres CSPM peuvent prendre quelques minutes pour générer une réponse, ce qui peut être très frustrant. 

FullStory s’est d’abord montré prudent quant au déploiement de Wiz', adoptant une approche « land and expand », leur permettant d’évaluer pleinement l’impact de la solution. Ils ont prouvé que le capteur ne dégradait pas les performances et ont trouvé une valeur énorme dans les nouveaux cas d’utilisation que le capteur déverrouille. Désormais, le capteur d’exécution est déployé sur leurs clusters gérés par GKE. Cela permet la surveillance en temps réel, la détection en temps réel et le contexte d’exécution. Stanislav considère les fonctionnalités supplémentaires du capteur comme une extension naturelle du produit sans agent de base. L’ajout d’un contexte d’exécution, le fait de voir la vulnérabilité s’exécuter, montre que la solution donne correctement la priorité à l’atténuation des risques, ce qui ajoute une autre couche de confiance pour l’équipe de Stanislav. 

Le risque avec d’autres technologies à haute automatisation est qu’elles émettent tellement d’alertes que les utilisateurs se déconnectent. Wiz, cependant, classe les risques d’une manière très exploitable. Nous ne recevons pas 200 alertes par jour, donc lorsque nous recevons une alerte critique, nous savons que nous devons la corriger immédiatement.

Par exemple, cette visibilité granulaire peut permettre à l’équipe de Stanislav d’identifier rapidement un port de service exposé, un problème qui pourrait autrement prendre des mois ou des années à identifier. Ils peuvent également isoler immédiatement les nouvelles vulnérabilités du code avant le lancement d’un produit, réduisant ainsi le risque de sécurité du cloud à pratiquement zéro. 

L’un des autres principaux arguments de vente de FullStory est que la plate-forme Wiz a été développée indépendamment, sans technologie tierce encombrante. « Avec de nombreuses solutions de cybersécurité, vous pouvez dire qu’elles ont été bricolées à la suite d’une fusion ou d’une acquisition », explique Stanislav. « Il est évident que ces plateformes n’ont pas la même base de code sous-jacente ou les mêmes API. Wiz est différent parce qu’il a été construit à partir de zéro, avec une uniformité intentionnelle. La qualité supérieure qui en résulte est évidente. 

Faire de la sécurité une responsabilité partagée 

Stanislav et son équipe ont été en mesure d’améliorer encore la collaboration interne en donnant aux équipes d’ingénierie l’accès à Wiz. Cela leur permet de comprendre et de hiérarchiser facilement les risques plus rapidement et à un niveau plus granulaire, en interrogeant le graphique de sécurité de la plateforme et en exécutant des rapports de sécurité précis.  

L’équipe de sécurité soutient davantage de parties prenantes et étend sa sphère d’influence dans l’ensemble de l’entreprise en exploitant les données fournies par Wiz pour permettre à chacun de jouer un rôle dans la protection de FullStory contre les menaces de sécurité.

L’extension de la visibilité à l’équipe d’ingénierie est un élément clé du processus de collaboration pour Stanislav. Il dit que « ce n’est pas suffisant de dire à un ingénieur de corriger une faille de sécurité, ils veulent savoir pourquoi. Ils veulent être des partenaires. Cela signifie que l’équipe de sécurité doit également avoir une idée de ce à quoi pourrait ressembler une solution. 

Stanislav et son équipe explorent actuellement de nouvelles opportunités passionnantes de partenariat avec les parties prenantes internes d’un plus large éventail de fonctions commerciales, en partageant les alertes de vulnérabilité Wiz et en diffusant leur message unique de sécurité cloud au fur et à mesure.  

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

“La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud.”
David EstlickRSSI
“Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud.”
Adam FletcherChef du service de sécurité
“Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement.”
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités