Défi
MercuryGate souhaitait créer un modèle interne de responsabilité partagée dans lequel toutes les parties prenantes étaient responsables de la sécurité de leurs ressources cloud afin de réduire les coûts et de réduire le temps nécessaire à l’identification et à la résolution des problèmes.
Pour prendre en charge une migration massive vers le cloud, M&En plus de sa croissance future, MercuryGate avait besoin d’une plate-forme de sécurité cloud capable de protéger un environnement de grande taille à grande échelle.
L’entreprise a vu des informations faisant état d’un nombre croissant d’attaques de cybersécurité dans l’industrie du logiciel et souhaitait se préparer pour l’avenir avec une solution capable de suivre le rythme des menaces potentielles.
Solution
MercuryGate a consolidé sa surveillance de la sécurité du cloud avec Wiz. Jusqu’à 75 % de ses utilisateurs ne font pas partie du personnel de sécurité, de sorte que la sécurité est une responsabilité partagée au sein de l’organisation.
L’organisation utilise Wiz pour réduire le temps nécessaire à l’analyse de l’ensemble de son environnement cloud à la recherche de risques et peut examiner des actifs supplémentaires, tels que les environnements introduits via M&Une activité, en 15 minutes plutôt qu’en 8 mois.
En se déplaçant vers la gauche, MercuryGate est en mesure d’utiliser Wiz pour rechercher de nouvelles menaces et identifier les problèmes avant de déployer le code en production, gardant ainsi une longueur d’avance sur les risques potentiels.
Une course pour accélérer la croissance en toute sécurité
MercuryGate (en anglais seulement) est une plateforme mondiale de transport intelligent avec plus de deux décennies d’expérience dans l’aide logistique des clients du premier au dernier kilomètre. Aujourd’hui, leurs services comprennent tout, de la gestion des réclamations et de la conformité aux outils de visibilité des océans. Pour continuer à innover sur sa plateforme, MercuryGate a décidé de migrer son infrastructure on-premise vers le cloud. Au début de ce parcours, l’entreprise s’appuyait sur des solutions de sécurité héritées et des équipes de sécurité tierces, mais au fur et à mesure que son empreinte s’est développée, elle a dû internaliser la sécurité pour améliorer la visibilité et la rapidité des mesures correctives.
Dans sa phase de transition plus large, MercuryGate avait également besoin d’outils de sécurité cloud qui l’aideraient à sécuriser efficacement un environnement cloud massif. « Nous avons une très grande empreinte dans le cloud, en particulier pour une entreprise de notre taille », explique Chad Hicks, RSSI chez MercuryGate. « Cela s’accompagne de difficultés uniques lorsque nous pensons à la protection de milliers d’instances EC2, de charges de travail conteneurisées et de bases de données natives. »
La sécurité est une responsabilité partagée, et le fait d’avoir les bons outils dans sa ceinture d’outils nous permet de démocratiser la sécurité pour protéger notre système. Nos solutions héritées ont laissé notre équipe dans une situation d’arrêt en matière de sécurité, et il était extrêmement frustrant de perdre notre crédibilité auprès de nos cadres supérieurs parce que nous ne l’avions pas fait'Nous savions donc que nous devions changer nos outils et notre état d’esprit.
Pour assurer une croissance durable, l’équipe souhaitait mettre en place un programme de sécurité axé sur la collaboration interne. Étant donné que les fusions et acquisitions constituent une grande partie de la stratégie de croissance de l’entreprise, MercuryGate avait besoin d’évaluer la posture de sécurité des nouvelles acquisitions tout en éduquant et en collaborant avec les nouveaux membres de l’équipe sur les mesures de sécurité. « Je pense à la sécurité comme à une course de F1. Les équipes de course passent beaucoup de temps à mettre en place des glissières de sécurité et des mesures de sécurité pour s’assurer que les pilotes peuvent entrer dans les virages le plus rapidement possible », a déclaré Hicks. « Dans le domaine de la sécurité, nous visons à faire la même chose. Toutes nos équipes se réunissent pour s’assurer que DevOps peut évoluer le plus rapidement possible tout en restant en sécurité.
Utilisation de la visibilité partagée pour créer une équipe de sécurité à l’échelle de l’organisation
Afin de protéger son infrastructure cloud et de faire évoluer la mentalité de son équipe en matière de sécurité cloud, passant de la protection d’une solution sur site à celle du cloud, MercuryGate s’est mis à la recherche d’une nouvelle solution de sécurité cloud. Au cours du processus d’évaluation, l’entreprise a donné la priorité à un déploiement rapide. En ce qui concerne Wiz, l’équipe a été heureuse de constater qu’elle pouvait mettre en place la plate-forme en quelques minutes pour commencer à numériser immédiatement. « Il a fallu 15 minutes pour déployer Wiz », a déclaré Taryn Lloyd, ingénieure cloud chez MercuryGate. « Il n’y a presque pas eu de temps entre la mise en œuvre de Wiz et la possibilité de représenter avec précision nos vulnérabilités en matière de sécurité. » L’équipe de sécurité a travaillé en étroite collaboration avec DevOps pour créer une propriété mutuelle de la sécurité dès le moment où ils ont choisi la nouvelle solution.
Avec Wiz, MercuryGate est en mesure de connecter étroitement ces équipes pour trouver plus efficacement les vulnérabilités et accélérer la rapidité avec laquelle elles peuvent agir sur les découvertes. « D’autres outils de sécurité crachent des milliers de résultats et vous pouvez perdre de vue ce qui est important », a déclaré Hicks. « Le contexte fourni par Wiz nous permet de travailler rapidement sur des correctifs à fort impact. » Disposer d’un espace partagé où les équipes peuvent collaborer signifie également qu’elles n’ont plus besoin de travailler à l’aide de feuilles de calcul pour suivre les données ou exécuter des rapports en temps réel.
Le partage des données s’étend également aux autres hauts dirigeants du MercuryGate. « Nous devons préparer des présentations sur les mesures de sécurité tous les trimestres et, au fur et à mesure que nous les étudions, il est important de'Il est vraiment difficile d’aller d’une plate-forme à l’autre pour agréger les données », a ajouté M. Hicks. « Wiz regroupe tout cela dans un seul écran et facilite le partage. »
Lorsqu’il y a une nouvelle vulnérabilité, je peux facilement trouver les systèmes affectés et les CVE répertoriés directement sur le tableau de bord Wiz. Je peux voir où se situe chaque système dans notre infrastructure et en faire un ticket sur lequel nos ressources extracôtières peuvent travailler.
L’équipe a étendu cet espace collaboratif pour inclure les utilisateurs de toute l’organisation : 75 % des utilisateurs Wiz de MercuryGate ne font pas partie de l’équipe de sécurité. En ouvrant Wiz à d’autres équipes, telles que les opérations et le développement, toutes les personnes impliquées dans le processus de sécurité peuvent générer leurs propres rapports, identifier les problèmes liés à leurs propres projets et y remédier sans que l’équipe de sécurité n’ait à attribuer de tâche. « Wiz m’a permis de développer notre équipe d’exploitation et de l’aider à se former à l’agressivité avec laquelle nous abordons l’application de correctifs », a déclaré M. Lloyd. « Je peux également montrer à nos hauts dirigeants qu’un grand nombre de nos risques élevés sont nuls grâce au travail que nous accomplissons'Et c’est là qu’il faut se
Bénéficiez d’une visibilité complète sur un environnement cloud complexe pour réduire les risques de 50 % en 60 jours
La démocratisation de l’accès à l’information dans Wiz a aidé les équipes de MercuryGate à renforcer la sécurité de l’entreprise avec moins de ressources. Les tâches qui nécessitaient auparavant deux ingénieurs cloud dédiés peuvent désormais être facilement partagées avec les équipes offshore pour résoudre les problèmes, libérant ainsi les équipes internes pour qu’elles puissent se concentrer sur le développement de nouvelles fonctionnalités. Cela les a également aidés à rechercher et à supprimer les ressources inutilisées pour économiser des dizaines de milliers de dollars après seulement quelques mois d’utilisation de la plateforme. Collectivement, cela a permis de réduire les risques de 50 % dans les 60 jours suivant la mise en œuvre de Wiz.
Du point de vue de la conformité, l’organisation a été en mesure de consolider la gestion des actifs dans Wiz pour faciliter la surveillance. « Le fait de pouvoir voir notre conformité SOC2 directement dans Wiz est beaucoup plus précis que les feuilles de calcul que nous utilisions dans le passé », a déclaré Hicks. « Désormais, nous pouvons effectuer une recherche rapide, obtenir des listes de notre système qui ne sont peut-être pas protégées par l’agent MDR et travailler rapidement au déploiement. L’exactitude nous permet de dire aux vérificateurs que nous'faire tout ce qu’il faut et réduire les risques.
Lorsque vous'en ce qui concerne les fusions et acquisitions, si vous'À l’heure actuelle, il n’y a pas d''n’est pas natif du cloud et sans Wiz, cela pourrait prendre six à huit mois pour déployer les choses, ce que nous pouvons maintenant faire en 15 minutes.
Grâce à son interface unique, les nouvelles acquisitions sont également devenues faciles à introduire dans l’environnement cloud de MercuryGate. Chaque fois qu’une entreprise cloud native est acquise, MercuryGate peut déployer Wiz pour gagner en visibilité sur son environnement en 15 minutes. « Nous faisons beaucoup de diligence raisonnable en amont, mais de nombreuses organisations gardent l’information et leur stratégie de sécurité à portée de main », a déclaré M. Hicks. « L’une des premières choses que nous faisons après l’acquisition est de déployer Wiz et d’élaborer une feuille de route pour les 30 à 60 prochains jours de travail de sécurité. »
Prendre de l’avance sur les menaces potentielles
MercuryGate utilise désormais l’analyse IaC de Wiz pour identifier les menaces avant qu’elles n’atteignent les environnements de production. Ceci, associé à une visibilité inter-entreprises, aide les développeurs de MercuryGate à intégrer la sécurité plus tôt dans la création de nouvelles fonctionnalités.
L’entreprise s’engage à utiliser ces ressources pour garder une longueur d’avance sur les menaces évolutives et futures. « Alors que nous regardons au-delà de l’horizon de la sécurité du cloud, nous devons suivre les acteurs de la menace. À l’heure actuelle, il n’y a pas de'L’accent est mis sur la compromission de l’IAM », a déclaré M. Hicks. « Nous'Nous y consacrerons du temps et Wiz sera essentiel pour trouver la prochaine action des acteurs de la menace afin que nous puissions être sûrs de détecter tout problème ou mauvaise configuration dans notre environnement.
