Défis
Pour maintenir sa posture de sécurité sans une équipe de sécurité dédiée, Monument Bank avait besoin d’une visibilité immédiate sur ce que les développeurs construisaient dans le cloud.
Monument Bank avait besoin d’un processus évolutif et efficace pour permettre aux équipes de développement de résoudre rapidement les problèmes.
Monument Bank a cherché à identifier les problèmes récurrents dans la production et le décalage vers la gauche pour les corriger plus tôt.
Solutions
Monument Bank dispose d’une vue unique et en temps réel sur l’ensemble de son environnement AWS.
Les équipes de développeurs peuvent rapidement comprendre et supprimer les risques dans le cloud à l’aide des rapports exploitables et contextualisés de Wiz.
Monument Bank maintient sa stratégie de sécurité dès la conception en utilisant des garde-fous Wiz afin d'éviter les problèmes récurrents dans le processus de développement.
Unifier les équipes internes pour sécuriser son cloud
Monument Bank offre à sa clientèle de professionnels, entrepreneurs et investisseurs immobiliers une plateforme bancaire numérique reposant sur une technologie de serveur cloud. La startup-néo-banque propose une gamme de produits d’épargne et de prêt utilisant des fonctionnalités avancées dans l’application pour les interactions avec les clients. « Nous réunissons une technologie modulaire et d'avant-garde dans une configuration unique pour redéfinir les services bancaires haut de gamme pour la clientèle aisée », déclare Graham Law, responsable des opérations cloud chez Monument.
Monument est également une banque réglementée. « Il y a des attentes réglementaires, des attentes des clients et des menaces réelles », explique M. Law. « En tant que gardien de l’épargne de nos clients, nous devons nous préparer à d’éventuelles cyberattaques. »
Deux ans après le début de son parcours, Monument est convaincu que son infrastructure cloud est sécurisée, même s’il ne dispose pas d’une équipe de sécurité dédiée. Dans le cadre de sa stratégie, Monument vise à sécuriser par la conception. « Nous l’avons fait dès le premier jour sur notre application, mais avec AWS, il n’y avait rien que l'on puisse connecter et faire en sorte que cela marche », explique M. Law.
Tout commence par la visibilité
Lorsque les développeurs de la banque ont développé l'application dans le cloud, l’équipe de sécurité a voulu s’assurer qu’elle répondait aux normes de sécurité les plus exigeantes. « Nous voulions savoir comment gagner en assurance alors que ces mêmes développeurs étaient aussi les personnes qui construisaient et configuraient les outils de sécurité natifs dans AWS », explique Law.
Monument a adopté une architecture logicielle cloud native moderne qui n’impliquait aucune infrastructure sur site. De plus, une grande partie de son écosystème est axée sur le SaaS. “I'l ne s'agit pas d'avoir seulement beaucoup d'infrastructures traditionnelles auto-'hébergées s'exécutant dans le nuage informatique,” affirme Law. « Ce sont des services et micro-services beaucoup plus modernes, une couche d’intégration entre les API. Il s'agit d’un autre type de défi en matière de sécurité, et bon nombre des approches traditionnelles ne sont pas conçues pour ce type d'environnement. »
Déploiement facile, résultats rapides
Monument avait une lacune à combler en matière de connaissances. « La sécurité change tous les jours. Je n’ai pas le temps ni les connaissances nécessaires pour effectuer mes propres audits d’AWS, » explique M. Law. Au départ, l’équipe a essayé de travailler avec des entreprises de services d'essai d’intrusion plus traditionnelles pour effectuer des évaluations, mais elles n’ont pas fourni assez de retour sur investissement. Monument a même envisagé d’embaucher un ingénieur en sécurité AWS, mais il s’agit d’une ressource très coûteuse.
Après avoir exploré d’autres options, ils ont jeté un coup d’œil à Wiz. « J’ai été vraiment époustouflé par la facilité avec laquelle Wiz a été mis en œuvre et par l’immédiateté des bénéfices, à tel point que j’ai dit au CTO : si vous ne l'achetez pas, je démissionne parce que sans cela je ne peux pas faire mon travail. » Law affirme : « En gros, c’était 20 minutes après avoir commencé le POV. »
La force PVO de Wiz était qu'il est extrêmement rapide et facile à mettre en place. Cela n'allait pas être un processus de trois mois : nous étions opérationnels en un après-midi.
Law a été encouragé par les avantages rapides de la mise en œuvre. « Au cours des premières heures de mise en œuvre, Wiz a identifié des failles de sécurité et des problèmes que nous n’avions pas détectés. Nous avons pu nous mettre immédiatement au travail pour résoudre ces problèmes », explique M. Law.
La priorisation en toute simplicité
Law s’appuie sur Wiz pour mettre en évidence les combinaisons toxiques et répertorier les risques critiques afin que son équipe puisse prioriser les problèmes critiques devant être résolus. « Le système d’évaluation des risques de Wiz crée un travail exploitable », explique Law.
En tant que startup, nous pouvons pas résoudre chaque problème immédiatement, nous n'avons pas cette capacité. Wiz nous permet de prioriser rapidement les changements à apporter.
Le tableau de bord de Wiz a fourni pour la première fois à l’équipe de Monument Bank une vue complète de son environnement. “Nous l'avons toujours eu chez AWS, mais nous n'avon's jamais été capables de le voir,” affirme Law. « Comme nous l’avons dit, j’ai essayé d’aligner la direction et d’expliquer ce que Wiz nous dit, le Security Graph – et plus particulièrement la visualisation des problèmes – a constitué une aide précieuse pour comprendre le problème et sa portée. »
Monument opérationnalise Wiz en s’intégrant à Jira pour créer automatiquement des tickets relatifs aux risques critiques afin qu’ils puissent être traités rapidement et facilement par les développeurs. De plus, Wiz fournit un contexte exploitable afin que les équipes puissent identifier, prioriser et résoudre ces problèmes en fonction de ce qui constitue la plus grande menace pour l’environnement. « Cela nous évite d’avoir à créer les tickets et permet à mon équipe de se concentrer sur les problèmes les plus critiques qui doivent être priorisés. »
Au-delà du virage à gauche pour résoudre les problèmes dès le début du processus de développement et de la mise en place de garde-fous pour maintenir la cohérence à long terme, Monument s’est également tourné vers Wiz pour revoir son processus de gestion des risques. « Wiz nous a permis de créer un processus d’application de correctifs qui fonctionnait sur l’ensemble de nos conteneurs, applications, packages de système d’exploitation, correctifs d’AMI et partout où cela était nécessaire. Il s’agissait de mettre en place le bon processus et d’identifier un changement stratégique, même dans la façon dont nous gérons nos conteneurs, afin de permettre un correctif meilleur et plus facile.
Une approche différente de la sécurité
Law et son équipe croyaient qu’ils faisaient les choses correctement, mais n’avaient aucun moyen de le prouver. Wiz leur a rapidement fourni l’assurance dont ils avaient besoin. « De toute évidence, nous avons trouvé certaines choses à changer, alors nous avons suivi un processus très rapide pour comprendre ce qui est bien et ce qui est mal pour ensuite corriger ce qui n’allait pas », explique Law. « Nous pouvons maintenant essayer de faire mûrir cette approche et de l’intégrer comme un moyen durable et à long terme d’intégrer la sécurité dans nos processus de développement et du site. »
Law souligne l’importance d’utiliser un outil qui permet aux développeurs d’avoir un intérêt significatif dans la discussion sur la sécurité. « Wiz peut mettre en évidence des résultats qu’ils ne comprennent pas nécessairement où se situe le risque », explique Law. « Wiz fait un bon travail en expliquant, d’une manière compréhensible, pourquoi il donne à quelque chose une note déterminée. »
Pour Law, le plus grand avantage a été de passer de discussions sur les raisons pour lesquelles quelque chose constituait réellement un risque, à comprendre, au fil du temps, quels sont ces risques et réaliser ce qui doit être priorisé. « La visibilité obtenue grâce au Security Graph de Wiz nous aide énormément. L’accent mis sur les combinaisons toxiques et les descriptions qui les accompagnent sont très lisibles pour un public qui ne s'occupe pas de sécurité, ce qui souligne pourquoi cette combinaison particulière est quelque chose qu'il faut aborder. »
La conformité est un autre défi figurant sur la future feuille de route de Monument. « Nous mettons en œuvre une approche mature pour déterminer nos risques dans le monde réel, et non une liste de contrôle arbitraire », explique M. Law. « Nous prenons le temps d’examiner les normes de conformité et ce que nous avons déjà en place. Nous prenons le temps nécessaire pour commencer à jeter les bases pour la mise en conformité de notre environnement. La pré-visibilité dont nous disposons est incroyablement utile, car elle simplifiera une grande partie du travail manuel de ce processus.»
Wiz nous permet d’examiner la cause profonde de certains de nos problèmes et de savoir comment nous pouvons en résoudre rapidement certains avec une relative facilité. Une grande partie de ce que nous avons trouvé est évitable, à condition qu’elle soit détectée tôt.
Pour Monument, Wiz joue le rôle d’ingénieur en sécurité et permet aux responsables de la sécurité et aux développeurs de travailler plus étroitement pour identifier les changements fondamentaux qui doivent être apportés. « Nous aurons peut-être encore besoin d’un ingénieur en sécurité, un jour. Mais avec l’automatisation des tâches manuelles par Wiz, ils peuvent travailler sur des fonctionnalités plus avancées », explique Law.
Vous voulez savoir comment votre programme de sécurité cloud peut obtenir les mêmes résultats que Monument Bank ? Examinez de plus près les solutions de sécurité du cloud pour les services financiersproposées par Wiz.
