Desafio
Uma arquitetura complexa de várias nuvens gerenciada por várias equipes dificultou o estabelecimento de processos de segurança claros e consistentes.
Como uma empresa em rápido crescimento, a AppsFlyer precisava garantir que conseguisse proteger seu ambiente de nuvem sem permitir que a segurança se tornasse uma barreira à produtividade e eficiência dos desenvolvedores.
A AppsFlyer precisava de uma solução de segurança que fosse fácil de implantar e gerenciar em escala, e que conseguisse oferecer uma visibilidade contextualizada e profunda quanto aos riscos de segurança.
Solução
A AppsFlyer operacionalizou o gerenciamento de segurança em sua ampla variedade de ambientes de nuvem e tipos de carga de trabalho com uma ferramenta CNAPP.
Ao examinar a infraestrutura como código (IaC) em busca de riscos de segurança antes que eles sejam aplicados, o AppsFlyer capacitou as equipes de desenvolvimento a mudar para a esquerda.
AppsFlyer ganhou visibilidade completa de sua infraestrutura usando Wiz's recursos de varredura sem agente e painel de segurança centralizado.
Escalando a segurança em uma organização de rápido amadurecimento
Um dos maiores desafios para qualquer equipe de marketing é a atribuição. Conectar com clareza um retorno de investimento (ROI) com campanhas publicitárias específicas é especialmente desafiador, e a AppsFlyer fornece métricas de desempenho de campanha para ajudar as empresas a maximizar o valor de tempo de vida do cliente. Esses desafios de ROI são tão comuns que, de fato, a AppsFlyer obteve um crescimento exponencial nos últimos anos. A organização quase duplicou seu número de funcionários e conta com quase 400 desenvolvedores.
Essas equipes também trabalham em uma ampla infraestrutura de nuvem. Seu ambiente de nuvem opera em mais de quatro provedores em nuvem, processa mais de um bilhão de eventos diários e usa mais de dez linguagens de programação diferentes. Isso tem apresentado um grande desafio para sua equipe de segurança, à medida que ela trabalha para proteger a infraestrutura em crescimento. “Experimentamos um enorme crescimento”, afirma Danny Robinson, gerente de engenharia de segurança cibernética da AppsFlyer. “Tínhamos que pensar em uma estratégia de segurança da empresa que nos servisse, quer tivéssemos 1.000 funcionários ou 5.000.”
Estávamos combatendo incêndios porque eles precisavam ser apagados, mas o que realmente precisávamos era de uma estratégia. E essa estratégia precisava incluir novas maneiras de ajudar nossas equipes a se conectarem e trabalharem juntas.
Para atender a essas novas necessidades, a AppsFlyer contratou uma nova diretora de segurança da informação, Dikla Saad Ramot, a fim de unificar seus processos de segurança existentes. Centralizar o programa de segurança da empresa com essa equipe incluiu abrir mão da segurança baseada em projetos para uma abordagem mais estratégica e baseada em riscos. Em vez disso, a equipe queria reduzir o tempo gasto na investigação manual de vulnerabilidades e conectar suas ferramentas dissonantes.
Além disso, a organização descobriu que sua equipe de segurança, que é subdividida em equipes de engenharia, operações e governança, precisava de uma maneira mais direta de se comunicar. “Tínhamos de aprender a falar a mesma língua em nossas reuniões semanais e ser capazes de reagir a problemas rapidamente”, afirma Robinson. A AppsFlyer precisava de mais do que uma ferramenta; ela precisava de um parceiro de segurança para ajudar a moldar soluções para os desafios de segurança impostos por seu ambiente de nuvem amplo e dinâmico, incluindo um grande foco na varredura de IaC. Foi durante essa busca que a AppsFlyer encontrou o Wiz.
Deslocando à esquerda através da mudança das prioridades de segurança
Sabendo que a equipe queria melhorar a visibilidade, a comunicação e a colaboração, ela inicialmente adotou o Wiz como uma solução de CSPM para simplesmente monitorar sua infraestrutura enquanto utilizava outras soluções de correção. Com o ambiente multinuvem da AppsFlyer — que inclui uma ampla infraestrutura como código (IaC), como máquinas virtuais, aplicativos confinados hospedados em Kubernetes e contêineres autônomos — a equipe descobriu que eles também tiveram que unificar o monitoramento e a correção para criar processos de implantação mais suaves.
A consolidação adicional do seu gerenciamento de segurança levou a AppsFlyer a adotar o Wiz para varredura de IaC a fim de tirar vantagem de mais funcionalidades em uma única ferramenta, bem como centralizar ainda mais sua solução de CNAPP. “Queríamos implantar a IaC em nossos pipelines, mas, para fazê-lo direito, precisávamos examinar facilmente nossas implantações críticas de infraestrutura”, afirma Robinson. “Com o Wiz, toda a nossa varredura funciona no mesmo lugar, e temos uma visão mais clara e holística da nossa postura de segurança.” Equipar a equipe com informações mais contextualizadas e focadas sobre seus riscos ajudou a AppsFlyer a adquirir uma visão mais holística a respeito de sua extensa infraestrutura. A equipe conseguiu usar a varredura sem agentes do Wiz para liberar tempo para criar estratégias e criar diretrizes mais explícitas sobre o que a empresa considera uma infraestrutura válida e segura.
Como uma empresa nativa na nuvem, a segurança em nuvem é parte essencial da nossa estratégia de segurança. Trabalhar com o Wiz para escalar nosso programa de segurança nos ajudou a acompanhar as rápidas mudanças nos requisitos de tecnologia, bem como nossas próprias capacidades de adaptação a essas mudanças à medida que forem surgindo.
Essa mudança de abordagem também ajudou a equipe a se deslocar à esquerda, ou priorizar a revisão e a abordagem dos riscos no início do processo de desenvolvimento, bem como a melhorar a colaboração entre as equipes de engenharia de segurança e desenvolvimento. Com mais contexto em relação aos seus riscos em toda a infraestrutura da AppsFlyer, as equipes adquiriram uma melhor compreensão sobre os riscos que devem ser priorizados. “Com nossa solução anterior, éramos notificados sobre muitas vulnerabilidades que não eram realmente exploráveis”, afirma Robinson. “Nossa equipe estava gastando muito tempo revisando aquilo que não eram problemas, mas agora podemos saber quais de nossos riscos são importantes.”
Operacionalizando a segurança para criar equipes mais fortes
Um dos objetivos mais importantes para a AppsFlyer era usar suas novas ferramentas de segurança para melhorar a relação entre as equipes de segurança e pesquisa e desenvolvimento (P&D). Para conseguir isso, a equipe de segurança sabia que precisava compartilhar informações de maneira que não impactasse os prazos de produção. “Apoiar as relações com nossas equipes de P&D é mais importante do que corrigir qualquer problema. Vamos solucionar os riscos”, afirma Robinson. “Para nós, o mais importante era não bloquear ninguém.”
A empresa integrou o Wiz à sua plataforma de resposta a incidentes para otimizar as respostas aos alertas de segurança e acionar fluxos de trabalho de solução automáticos criados pela equipe de operações da AppsFlyer. “O Wiz nos ajudou a mudar a mentalidade em torno da função de uma plataforma de segurança para a organização”, afirma Robinson.
“Sair de uma época em que outras equipes viam a segurança como um empecilho para hoje, quando essas mesmas equipes nos procuram para iniciar uma conversa, é uma mudança importante”, acrescentou Doron Schwartz, engenheiro de DevSecOps da AppsFlyer. “Podemos trabalhar juntos com mais facilidade para discutir como eles podem iniciar projetos com segurança.”
Precisávamos de uma visão holística de toda a nossa infraestrutura de nuvem, aplicativos e o nível de risco em cada um desses ativos. Pode ser difícil saber por onde começar as conversas sobre um ambiente desse tamanho, e conseguimos essa visibilidade com o Wiz em apenas alguns cliques.
Com uma visão mais abrangente de seu ambiente, a equipe também foi capaz de identificar e corrigir rapidamente problemas relacionados ao Log4J. “Quando o Log4J se instalava, não precisávamos começar a varredura. O Wiz a executava automaticamente”, afirma Robinson. “Conseguimos identificar as equipes responsáveis, compartilhar os problemas que precisavam resolver e apontar quais arquivos foram afetados, tudo em um só lugar.”
Essa abordagem de painel único também tornou a comunicação mais simples do que nunca. “Quando somos questionados sobre a postura de segurança da AppsFlyer, podemos fornecer números absolutos que falam por si mesmos; e, quando precisamos, também temos respostas contextualizadas sobre nossa saúde de segurança”, afirma Robinson. “Não tínhamos essa capacidade antes, e isso fez uma enorme diferença na forma como compartilhamos informações.”
Entrando com tudo em uma nova era de segurança com a AppsFlyer
Embora a colaboração entre as equipes de segurança da AppsFlyer continue a melhorar, a empresa está procurando soluções adicionais para tornar o processo ainda mais suave. Isso inclui trazer sua varredura de tempo de execução para o Wiz com o Sensor de Tempo de Execução para obter ainda mais contexto em relação a por que uma vulnerabilidade é explorável, bem como reduzir ainda mais o tempo gasto para corrigir riscos desnecessários. Isso será especialmente importante no mundo das máquinas virtuais e imagens do docker para proteger ainda mais seus aplicativos em contêineres ao vivo.
