Desafio:
Aumentar a visibilidade da segurança de seus ambientes de nuvem sem precisar reunir dados a partir de várias soluções e painéis.
Escalar o programa de segurança para detectar vulnerabilidades e combinações tóxicas de risco em seu ambiente de nuvem.
Estabelecer uma base de segurança sólida para continuar a construir a confiança dos clientes no negócio.
Solução
O Wiz fornece um painel único para ver e entender a infraestrutura de nuvem da Atlan, permitindo que os engenheiros identifiquem e priorizem facilmente problemas para correção.
A startup é capaz de analisar seu ambiente da AWS com o Wiz, permitindo que os engenheiros identifiquem e corrijam rapidamente os riscos em todo o ambiente.
O Wiz ajuda a Atlan a garantir e manter os requisitos de conformidade, e oferece suporte à transição para uma abordagem de segurança baseada em riscos.
Protegendo uma startup de rápido crescimento
Com o objetivo de se tornar um ícone universal para acessar dados e um hub único para equipes de dados colaborarem, a Atlan tem ambição de sobra. A startup se descreve como uma plataforma de metadados ativos que visa a ajudar os usuários a trabalhar com dados em campos tão diversos como pesquisa de câncer e desenvolvimento de veículos eletrônicos.
Para conquistar e reter empresas, a Atlan precisa manter sua plataforma e seus dados seguros – e essa responsabilidade cabe a Kashfun Nazir, o primeiro engenheiro de segurança a ingressar na organização e agora diretor de segurança da informação e encarregado da proteção de dados. Nazir é responsável por desenvolver um roteiro de segurança e implementar a arquitetura de segurança da Atlan. “Nossa estratégia é inicialmente defensiva e envolve a construção dos fundamentos de segurança, apoiados por uma estrutura de governança adequada”, explica. “Isso nos permite cumprir as auditorias necessárias para construir a confiança de nossos clientes em nossa segurança e em nosso modelo de negócios.”
Para gerenciar custos e escalar ao mesmo tempo para suportar o crescimento, a Atlan optou por executar suas cargas de trabalho em contêineres Kubernetes na Amazon Web Services (AWS) como um passo para uma arquitetura multinuvem. No entanto, os produtos de segurança nativos da AWS e o AWS Security Hub não puderam fornecer a facilidade de uso e a visibilidade exigidas pela equipe de segurança enxuta da startup. Os engenheiros precisavam fazer login em painéis separados para visualizar alertas e dados, o que tornava a correlação de informações complexa e demorada. Nazir queria um painel unificado que fornecesse um único painel para ver o ambiente de nuvem da Atlan e identificar facilmente os problemas. Segundo Nazir, isso ajuda a evitar “combinações tóxicas”, quando vários problemas de segurança são combinados e apresentam um risco considerável para o negócio.
Vulnerabilidade do Log4j motiva a busca de uma ferramenta externa
O surgimento de uma vulnerabilidade crítica no Log4j fez com que equipes de segurança em todo o mundo partissem à ação. Diante da falta de visibilidade imediata por meio de seus painéis existentes da AWS, Nazir se propôs a encontrar uma solução alternativa que pudesse identificar e mapear vulnerabilidades como o Log4j para correção rápida.
A plataforma escalável e sem agentes do Wiz se destacou para Nazir — e, quando o Wiz gerou descobertas inesperadas durante a prova inicial de conceito, ele e a equipe se convenceram. “Esse foi um dos fatores vencedores para o Wiz; pensamos que tínhamos corrigido todos os problemas do Log4j em nosso ambiente, com base no que era visível para nós”, afirma Nazir. “Com o Wiz, descobrimos que esse não era o caso.”
Esse foi um dos fatores vencedores para o Wiz; pensamos que tínhamos corrigido todos os problemas do Log4j em nosso ambiente, com base no que era visível para nós. Com o Wiz, descobrimos que esse não era o caso.
Implantação perfeita em uma hora
A implantação do Wiz provou ser uma experiência perfeita: a Atlan conseguiu vincular o Wiz às suas contas da AWS Cloud em minutos e concluir o exercício total em uma hora. “A equipe do Wiz trabalhou em estreita colaboração com nossa equipe de TI para entregar o projeto com sucesso”, afirma Nazir. “O fato de o produto ser sem agentes foi uma grata surpresa e simplificou a implantação – no geral, esse processo foi mais rápido do que a implantação de qualquer um dos outros produtos e ferramentas de tecnologia que usamos.” A inclusão do Wiz também não causou impacto sobre as operações de negócios, recursos ou desempenho da carga de trabalho da Atlan.
O fato de o produto ser sem agentes foi uma grata surpresa e agilizou a implantação
O Gráfico de Segurança oferece o maior benefício no dia a dia
Para a Atlan, o recurso mais útil do Wiz é o Gráfico de Segurança, que fornece visualização detalhada dos componentes envolvidos com qualquer risco de nuvem e as relações entre eles. “O Gráfico de Segurança do Wiz fornece um mapa dos contêineres afetados e também nos permite mergulhar fundo para obter mais detalhes sobre essa vulnerabilidade”, explica Nazir. “E os gráficos em si são dinâmicos, portanto podemos gerar imagens a partir de nossas próprias consultas.” Ao identificar combinações tóxicas e riscos críticos em todo o ambiente da Atlan na velocidade da nuvem, o Wiz permite que a empresa controle custos, otimize a utilização de recursos e priorize a remediação. A Atlan estima a economia derivada da automação através do Wiz como equivalente ao custo de três membros da equipe em tempo integral.
Enquanto isso, com a documentação clara e simples do Wiz e webinars de produtos disponíveis na web, Nazir pode simplesmente direcionar engenheiros recém-recrutados para revisá-los, a fim de acelerar muito seu processo de aprendizado e integração.
O Wiz também ajudou a empresa a lidar com uma proliferação de ataques de dia zero — e Nazir relata a rapidez com que o produto é atualizado com detalhes das ameaças e vulnerabilidades mais recentes. Isso permite que a Atlan gere confiança entre clientes e prospectos.
À medida que escalamos e ganhamos mais clientes, estamos confiantes de que podemos dizer a eles que estamos cientes de todas as vulnerabilidades conhecidas, e que novas vulnerabilidades também serão rapidamente visíveis para nós.
Adotando uma postura de segurança proativa
A conformidade com as estruturas CIS, bem como SOC 2 e HIPAA é fundamental para a estratégia da Atlan de conquistar novos clientes, e o Wiz desempenha um papel fundamental para garantir que a empresa atinja as certificações e padrões exigidos. “Estamos usando o recurso de conformidade do Wiz para verificar estruturas relevantes. Isso nos ajudou a confirmar nossa situação ao detectar alguns problemas periféricos que tínhamos deixado passar anteriormente”, afirma Nazir.
O Wiz está continuamente analisando configurações e verificando vulnerabilidades em todo o ambiente de nuvem da Atlan para descobrir problemas que apresentam riscos. À medida que a empresa de dados continua a evoluir sua postura de segurança, recorrerá ao Wiz para manter sua plataforma segura.
A Atlan planeja evoluir seu uso do Wiz, do gerenciamento de vulnerabilidades e rastreamento e identificação de problemas à redução de risco mais ampla. A empresa também pretende usar a plataforma para se deslocar à esquerda e aplicar uma política de segurança unificada em seu pipeline de CI/CD nos próximos meses, bem como integrar o Wiz com uma ferramenta SIEM a fim de oferecer maior visibilidade e capacidade de alerta.
“O Wiz é extremamente amigável e uma experiência agradável em comparação com outras ferramentas que usei”, conclui Nazir. “Em poucas palavras, o Wiz é a solução ideal, não apenas para profissionais de segurança, mas para qualquer engenheiro ou usuário que não necessariamente tenha as habilidades ou conhecimentos para se aprofundar nos aspectos técnicos do seu ambiente.”
