Desafio
Com uma presença global que abrange 120 países e uma história de crescimento através de fusões e aquisições, o ambiente de nuvem da Aon tornou-se incrivelmente complexo e difícil de proteger.
A organização não tinha uma única visão em tempo real de suas múltiplas operações de nuvem e contava com um conjunto de 10 ferramentas para identificar e corrigir o risco na nuvem.
A atividade crítica envolvia processos manuais demorados, caros e propensos a erros, incluindo a correção de riscos, relatórios de conformidade e integração de fusões e aquisições.
Solução
A Aon agora desfruta de uma única visão detalhada e em tempo real de seus ativos de nuvem em todo o mundo, bem como de seus recursos e vulnerabilidades.
Os ativos globais em nuvem da empresa são verificados automaticamente, gerando recomendações de correção de risco. Em muitos casos, os desenvolvedores podem corrigir os riscos por conta própria.
Os relatórios de conformidade também podem ser gerados automaticamente, enquanto a Aon avalia a postura de segurança das empresas envolvidas na atividade de fusões e aquisições, antes e depois de um acordo ter sido assinado.
A busca soluções para um cenário de nuvem altamente distribuído
A Aon é uma empresa global de serviços profissionais com operações em mais de 120 países, empregando cerca de 50.000 pessoas em todo o mundo. Com sede em Londres, seu negócio principal inclui gerenciamento de riscos, corretagem de seguros, corretagem de resseguros e soluções de consultoria de capital humano.
A Aon utiliza dados e análises proprietárias para reduzir a volatilidade e gerar os melhores resultados possíveis para seus clientes. Sua abordagem abrangente de tecnologia e segurança garante que ela tenha as melhores ferramentas e qualificações em todas as plataformas em nuvem para permitir o desenvolvimento, crescimento e gerenciamento seguro de riscos.
Os maiores desafios que a Aon enfrentava antes de sua parceria com o Wiz estavam vinculados à complexidade da estrutura organizacional da empresa. Por muitos anos, a Aon cresceu através de fusões e aquisições (M&A). O resultado é um negócio altamente distribuído, suportado por um complexo cenário de nuvem que abrange AWS, Azure e Google Cloud.
Tínhamos escritórios e equipes de desenvolvimento em mais de 100 países, cada um com seus próprios requisitos regionais e de cliente, suas próprias tecnologias e até mesmo idiomas diferentes para lidar.
Shivendra Singh, líder sênior em nuvem e segurança de aplicativos da Aon diz que sua equipe precisava de pelo menos 10 ferramentas de segurança para gerenciar essa complexidade na nuvem. Isso implicava em ter uma equipe grande, um robusto conjunto de habilidades para manter, muitas conversas internas e uma coordenação considerável das partes interessadas apenas para facilitar as operações do dia a dia.
Os processos manuais prejudicam significativamente a correção de riscos
Nessas circunstâncias, a correção de riscos na nuvem também era incrivelmente difícil, demorada e cara. A equipe de Singh tinha que extrair os achados manualmente a partir do conjunto de ferramentas, executar vários fluxos de correção, normalizar os dados manualmente, descobrir o contexto em torno de cada vulnerabilidade individual, identificar falsos positivos e montar uma imagem clara de cada risco.
Para tornar as coisas ainda mais desafiadoras, as equipes de segurança da Aon não podiam escanear manualmente seus ambientes de nuvem. Em vez disso, eles tinham que confiar no DevOps para notificá-los toda vez que um novo código era publicado. Esse método de identificação e correção de riscos podia levar dias para ser concluído.
"Os processos eram aleatórios e a equipe muitas vezes perdia coisas do ponto de vista da descoberta de ativos, como configurações incorretas", explica Michelle Pieszko, vice-presidente de operações de segurança cibernética da Aon.
Quando se tratava de satisfazer os requisitos de conformidade da nuvem da Aon, as equipes de segurança tinham que mapear manualmente as contas de nuvem da empresa e ajustar a documentação fornecida pelo fornecedor para criar relatórios de conformidade.
"Esse processo não envolvia dados em tempo real", diz Pieszko, "então nossos exercícios de conformidade geralmente já estavam desatualizados assim que eram concluídos"
A complexidade e os processos manuais também atuavam como uma restrição ao principal método de crescimento da Aon, por fusões e aquisições. Em alguns casos, levava anos para integrar totalmente novas linhas de negócios.
Lutando para acompanhar o ritmo de um pipeline de desenvolvimento em rápida aceleração
Enquanto isso, a migração para a nuvem estava acelerando o pipeline de desenvolvimento de código da Aon, fazendo com que suas equipes de segurança tivessem que lutar para manter o passo. Elas precisavam desesperadamente adotar uma postura de segurança proativa, com medidas de segurança automatizadas incorporadas ao pipeline de desenvolvimento.
O status quo não era sustentável, muito menos escalável. A complexidade da nuvem distribuída da Aon aumentou drasticamente o risco de segurança e conformidade, sendo necessário mudar aquela situação.
A empresa precisava de uma solução "definitiva", capaz de fornecer uma visão única e em tempo real de todo o seu estado de nuvem. A solução tinha que identificar e corrigir vulnerabilidades na nuvem, automatizar processos manuais e gerenciar componentes, como identidade e acesso a sistemas.
Para Pieszko, o momento decisivo aconteceu quando ela viu o Wiz em ação.
Durante a primeira demo do Wiz, lembro-me de ter passado uma mensagem para minha equipe, dizendo: "Se o Wiz fizer metade das coisas que estou vendo, precisamos dele imediatamente!' Foi a primeira ferramenta que vi que era capaz de nos dar visibilidade em todos os nossos ambientes de nuvem.
Graças às suas configurações prontas para uso, o Wiz não apenas deu às equipes de segurança da Aon insight granular imediato de toda a empresa, mas também aproximou DevOps e a segurança ao fornecer uma linguagem compartilhada em torno dos recursos e vulnerabilidades de ativos individuais. A Aon também descobriu que o Wiz é totalmente sem agentes, não requer tempo de inatividade dos sistemas e não tem impacto no desempenho operacional.
A velocidade de obtenção de valor da plataforma provou ser um divisor de águas para a Aon, permitindo que suas equipes de segurança fossem proativas com a correção de riscos, criando rapidamente a segurança por design em seu pipeline de produção de código DevOps.
Maior colaboração graças a uma visão única da verdade
"O principal recurso que se destacou para mim", diz Pieszko, "foi que pudemos ter nossas equipes de segurança e tecnologia conectadas no mesmo console e olhando para o mesmo conjunto de dados, dando-nos evidências indiscutíveis quando uma detecção crítica havia sido feita".
Anteriormente, havia muitos falsos positivos, então a equipe de Pieszko tinha que ligar para os proprietários dos aplicativos para discutir o contexto de cada incidente.
"O Wiz essencialmente elimina essas negociações e acelera a correção", diz ela. "O gráfico de segurança do Wiz gera automaticamente insights cruciais, como o caminho do ataque e o valor do ativo. Então, independentemente do contexto, agora podemos nos concentrar no problema e tomar decisões críticas de correção com base nos dados fornecidos em tempo real pelo Wiz."
Essa abordagem automatizada significa que as equipes de tecnologia da Aon agora podem corrigir os riscos em muitos cenários por conta própria. Elas podem ver o risco, entender por que ele é crítico e, em seguida, corrigir por conta própria graças a uma série de etapas recomendadas que são geradas pela plataforma. As equipes de tecnologia nem precisam fazer logon no Wiz: elas podem visualizar os problemas por meio de sistemas de tíquetes, como Jira e ServiceNow. Com esse novo processo de correção, a Aon reduziu o tempo de correção de riscos em seus ambientes de dias para horas.
Joe Martinez, CSO da Aon, diz que o Wiz se diferencia da concorrência por sua capacidade de escalar e do excelente tempo de obtenção de valor.
"O Wiz nos deu visibilidade rapidamente e nos ajudou a entender o cenário da nuvem. Foi uma verdadeira revelação, pois nos deu uma noção de quanta carga de trabalho, atividade e APIs estão sendo realmente usadas em nossos ambientes de nuvem", diz ele.
Ao contrário de muitas outras soluções, o Wiz consegue escalar para o nível empresarial. A maioria das outras soluções de segurança leva meses ou até um ano para você poder realizar o valor total do investimento. Graças ao Wiz, no entanto, conseguimos alcançar isso em poucas semanas, o que é praticamente inédito em nosso setor.
Pieszko observa que o Wiz provou ser a primeira linha de defesa da Aon quando vulnerabilidades globais do OpenSSL foram identificadas no final de 2022. Para sua satisfação, a plataforma prontamente identificou todas as instâncias da vulnerabilidade OpenSSL em todo o estado de nuvem da Aon, recomendando ações corretivas instantaneamente.
Automação das tarefas manuais, liberando equipes de segurança e conformidade
A coleta manual de documentos de conformidade do fornecedor também é coisa do passado. Com mais de 100 estruturas de conformidade integradas, o Wiz verifica automaticamente o ambiente de nuvem da Aon, mapeando as melhores práticas e estruturas regulatórias nas inúmeras contas de nuvem da empresa, revelando lacunas na conformidade, além de recomendar e automatizar a correção de riscos regulatórios.
"Eliminamos e automatizamos muito desse trabalho de conformidade graças ao Wiz", diz Pieszko. "Portanto, agora basta acessar o console e receber automaticamente o mapeamento de controle e os dados de avaliação. Apenas a parte de correção do ciclo é deixada aos cuidados da equipe. O que antes levava horas, agora leva apenas minutos."
A implantação rápida e perfeita também transformou o envolvimento da equipe de segurança nas fusões e aquisições. Agora, a Aon pode implantar o Wiz no ambiente de nuvem de uma aquisição em potencial antes que o acordo seja concluído, gerando dados imediatos e confiáveis sobre a postura de segurança da aquisição e sinalizando qualquer ação de correção que possa ser necessária.
"Não precisamos mais compartilhar questionários e planilhas com as partes envolvidas", explica Martinez. "O Wiz nos permite integrar muito rapidamente, dando-nos uma compreensão realmente transparente da postura de risco de uma aquisição em potencial."
A Aon transformou sua operação de gerenciamento de riscos na nuvem de maneira rápida e fluida usando o Wiz, eliminando a complexidade e processos manuais enquanto tornava a segurança por design a norma da empresa.
"A jornada da Aon para a nuvem não seria tão bem-sucedida se não tivéssemos o Wiz", conclui Martinez.
Quer saber como seu programa de segurança na nuvem pode alcançar os mesmos resultados que a Aon? Confira em detalhes as soluções do Wiz em segurança na nuvem para serviços financeiros.
