SfidaOperando in un settore fortemente regolamentato, Monese aveva bisogno di piena visibilità sul suo ambiente AWS.
Monese aveva bisogno di una soluzione che potesse aiutare il team di sicurezza a dare priorità alle proprie attività di sicurezza e ottenere visibilità in caso di configurazione errata rispetto alle migliori pratiche del settore.
Monese era alla ricerca di uno strumento agentless in grado di fornire informazioni complete sulla postura di sicurezza ai vari team all'interno dell'organizzazione, eliminando la necessità di affidarsi esclusivamente al team di sicurezza.
SoluzioneMonese ha ottenuto una visione completa del suo ambiente AWS, consentendo al team di sicurezza di trovare le vulnerabilità, individuare le loro posizioni esatte e assegnarle ai proprietari delle aziende responsabili.
Il piccolo team di sicurezza di Monese è stato in grado di gestire le proprie attività in modo efficace identificando e monitorando le vulnerabilità con l'aiuto della piattaforma Wiz.
Monese è stata in grado di creare una cultura della sicurezza più collaborativa consentendo a un insieme più ampio di utenti (inclusi sviluppatori e responsabili di prodotto) di utilizzare la piattaforma per comprendere e ridurre i rischi e per mitigarli in modo proattivo, proteggendo l'azienda da possibili tempi di inattività.
Alla ricerca di una visibilità completa con uno strumento per più teamMonese è una società di servizi finanziari digitali al dettaglio che fornisce conti solo per dispositivi mobili in una selezione di valute in diversi paesi dello Spazio Economico Europeo. In qualità di azienda nativa del cloud, Monese si impegna a garantire solide misure di sicurezza che hanno'ostacolare le operazioni aziendali. Aneel Sandhu, CISO di Monese, afferma: "La nostra strategia di sicurezza viene aggiornata ogni anno. Ci sono quattro pilastri. Uno dei pilastri fondamentali è la capacità di garantire la sicurezza in velocità. A parte questo,'è cose più tradizionali come assicurarsi che ci'trasparenza per le persone a tutti i livelli; quella's da persone che possono essere sviluppatori o che lavorano come responsabili di prodotto o anche dal Consiglio. E poi essere in grado di fare in modo che'rispettare tutte le normative che si applicano a noi o ai nostri clienti".
Monese non disponeva di una visibilità completa sul proprio ambiente AWS, il che era particolarmente preoccupante a causa del suo piccolo team di sicurezza e della natura frenetica dell'organizzazione. Con gli strumenti precedenti, i team spesso mancavano di contesto sulle vulnerabilità e non erano in grado di dare priorità alle loro esigenze di sicurezza in modo efficace. Sandhu riflette: "Poiché l'azienda ha un ambiente cloud complesso, il nostro problema principale è sempre stato la visibilità". Dovendo delegare il lavoro di sicurezza, Monese ha cercato uno strumento in grado di fornire le informazioni necessarie sui rischi ai membri dei vari team.
Inoltre, Monese opera in un settore e in una regione altamente regolamentati, rendendo la conformità un aspetto cruciale delle sue operazioni, in particolare la conformità 27001 (Sicurezza delle informazioni) e le normative in tutta Europa. Monese aveva bisogno di una soluzione che li aiutasse a raggiungere la conformità normativa e consentisse loro di essere più trasparenti con i clienti e migliorare la loro attività. Sandhu osserva che un pilastro fondamentale del programma di sicurezza di Monese è garantire che l'azienda sia conforme a tutte le normative pertinenti che si applicano ad essa o ai suoi clienti in tutte le giurisdizioni.
Definizione di obiettivi per una migliore vestibilitàPrima di implementare Wiz, Sandhu si affidava allo scripting manuale per comprendere i componenti dell'ambiente di Monese, che richiedeva molto tempo e non offriva una visione completa. Monese utilizzava anche scanner di sicurezza tradizionali che non erano adatti agli ambienti nativi del cloud e aveva bisogno di un modo migliore per condividere la mitigazione del rischio all'interno del suo piccolo team di sicurezza.
Ho bisogno di una visione di com'è fatta la nostra tenuta. In qualità di CISO,'è quasi impossibile comprendere tutti i componenti che compongono il nostro ambiente. Non eravamo ciechi di fronte ai problemi, ma dovevamo riporre molta fiducia in alcune persone per essere al passo con i risultati della sicurezza.
Monese desiderava una soluzione di sicurezza che migliorasse la visibilità totale e rafforzasse la preparazione alla conformità normativa, rendendo al contempo più facile la delega delle attività di sicurezza, riducendo così la dipendenza dal piccolo team di sicurezza. Il suo obiettivo era quello di costruire una pratica di sicurezza con ampi impatti positivi sul business.
La ricerca di una piattaforma completa per la sicurezza del cloudSandhu ricorda che il suo team di sicurezza inizialmente cercava uno scanner di vulnerabilità per soddisfare le richieste dei clienti bancari e i requisiti normativi. Tuttavia:
Quando siamo usciti e abbiamo esaminato quali strumenti erano disponibili, stavamo cercando uno scanner di vulnerabilità e ci siamo subito resi conto che non erano adatti agli ambienti nativi del cloud... ci siamo resi conto che AWS e altri CSP generano molti dati. Non l'abbiamo fatto'non ha bisogno di uno scanner di vulnerabilità; Avevamo bisogno di una soluzione di gestione delle vulnerabilità di configurazione.
Dopo aver analizzato i loro requisiti tecnologici e aver condotto un processo di richiesta di proposta (RFP), hanno preso in considerazione alcune soluzioni. Sandhu ricorda che hanno scelto Wiz perché era in grado di acquisire notevoli quantità di dati e fornire al suo team una visione molto concisa.
Aumentare la visibilità e la definizione delle priorità con WizIl team di Sandhu è stato in grado di iniziare facilmente con Wiz. Ricorda: "Siamo stati in grado di far funzionare Wiz molto rapidamente solo grazie alla sua connettività nativa per il cloud". Durante il periodo di prova di Monese con Wiz, la vulnerabilità Log4j ha mostrato loro la potenza di Wiz'. Sandhu dice che "sono stati particolarmente fortunati che log4j sia accaduto durante il processo con Wiz. Non solo eravamo collegati e funzionanti, ma ci ha anche permesso di capire immediatamente dove avevamo vulnerabilità relative a Log4j… il tutto durante il periodo di valutazione."
Monese ha implementato Wiz rapidamente. Il processo è stato semplice, con Wiz che si connetteva direttamente all'ambiente AWS di Monese e forniva immediatamente visibilità sui suoi sistemi. Successivamente, si sono concentrati sull'identificazione e la mitigazione precoce delle potenziali vulnerabilità e sulla prevenzione di potenziali tempi di inattività. Sandhu osserva: "Utilizzando Wiz nelle nostre pipeline di sviluppo, siamo in grado di raccogliere cose, fare revisioni del codice e comprendere librerie di terze parti". Questo imposta Monese's per identificare e risolvere i problemi durante lo sviluppo, anziché alla fine del processo. Sandhu aggiunge: "Non solo Wiz sta controllando per vedere cosa's in esecuzione nel cloud; ha anche una visione di tutto ciò che'finirà per essere inserito nel nostro ambiente di produzione".
Condividere le responsabilità, spostarsi a sinistraSandhu riflette anche sul fatto che con Wiz è facile fornire ai responsabili dei prodotti una visione in tempo reale delle vulnerabilità che vengono loro assegnate e dell'età di tali vulnerabilità. "Ciò offre molta più trazione per dare priorità alle correzioni di sicurezza", afferma. "Poiché il lavoro degli sviluppatori è guidato da qualsiasi requisito venga loro imposto da un responsabile di prodotto o da un project manager, ora le vulnerabilità possono essere assegnate ai responsabili di prodotto". Questo ha aiutato Monese a delegare il lavoro di sicurezza a più membri del team, aumentando la responsabilità.
Con Wiz che offre la possibilità di assegnare vulnerabilità agli imprenditori e condividere il lavoro di mitigazione del rischio, Monese può monitorare e dare priorità alle correzioni di sicurezza in modo più efficace.
Wiz ci ha permesso di individuare esattamente dove avevamo problemi. Se avessimo cercato di capire tutto ciò che era influenzato da log4J senza Wiz, ci sarebbero voluti almeno sette o otto giorni per individuare ovunque dovessimo riparare qualcosa. Wiz ci ha permesso di individuare immediatamente quelle aree.
Aumentare l'agilità e accelerare le implementazioniMonese ha anche visto il grande vantaggio di un'organizzazione di sviluppo matura e più efficace. I suoi team di sviluppo e sicurezza possono lavorare insieme e più velocemente per risolvere i problemi di sicurezza; Ciò migliora non solo il livello di sicurezza, ma crea anche la collaborazione all'interno dell'organizzazione. In questo modo si crea una collaborazione più agile per lo sviluppo e la sicurezza, si accelera l'implementazione e si consente agli sviluppatori di svolgere al meglio il proprio lavoro.
A volte'non si tratta solo di poter dire: 'C'è'è un problema; Vai a sistemarlo.' Che cosa'S ci ha permesso di fare è avere una comprensione molto chiara di quale sia quel problema e come procedere per risolvere le cose. Quindi Wiz ci ha aiutato a innescare un sacco di lavoro mentre maturavamo il nostro sviluppo nel suo complesso, proprio perché quella comprensione delle questioni fondamentali ci permette di costruire molto di più. Questa comprensione ci aiuta a migliorare le nostre pratiche di sicurezza.
Soddisfare i requisiti di conformità con facilitàWiz ha supportato l'analisi delle lacune di Monese e questa capacità di valutare e affrontare le lacune di conformità è un aspetto chiave della strategia di conformità di Monese. Wiz ha anche aiutato Monese a soddisfare i requisiti normativi e dei clienti in modo più efficace e a documentare il loro stato di conformità con prove automatizzate da condividere con vari partner.
Wiz ci ha permesso di fornire una prova concreta ai revisori dei conti, ai clienti e agli investitori, dimostrando che siamo davvero bravi come diciamo di essere. Possiamo illustrare che soddisfiamo i requisiti in materia di sicurezza.
Andare avanti, imparare sempreA proposito della sua posizione di CISO e delle pratiche di sicurezza in generale, Sandhu sottolinea: "Imparo qualcosa di nuovo ogni giorno. Devo capire cosa sta facendo l'azienda e come prende provvedimenti per applicare la sicurezza. Devo capire come funziona la tecnologia per essere sicuro'è sufficientemente sicuro, quindi devo sempre imparare."
Con il successo dell'implementazione di Wiz, Monese sta pianificando un futuro in cui la sicurezza è integrata e semplificata in ogni aspetto delle operazioni aziendali. Il miglioramento della visibilità, della gestione delle vulnerabilità e della reportistica di conformità continueranno a giovare a Monese man mano che si evolve. Ora possono dimostrare con sicurezza a revisori, autorità di regolamentazione, clienti e investitori di soddisfare i requisiti di sicurezza, che sono fondamentali in qualsiasi settore altamente regolamentato. Inoltre, grazie a pratiche di sicurezza più agili e condivise e a una migliore collaborazione tra i team di sviluppo e sicurezza, Monese può concentrare più tempo e sforzi sulla fornitura di servizi bancari di qualità superiore ai propri clienti.