Desafio
A Avery Dennison precisava de visibilidade em sua postura de segurança após adotar uma infraestrutura multinuvem.
A Avery Dennison precisava permitir que os desenvolvedores criassem novas ferramentas e serviços digitais sem que a segurança os atrasasse.
Como a Avery Dennison está evoluindo para um negócio com foco no digital, garantir suas novas ofertas de produtos era fundamental.
Solução
O Wiz fornece à Avery Dennison uma visão singular de seu ambiente multinuvem, incluindo a identificação de configurações incorretas, fornecendo contexto sobre vulnerabilidades e insights sobre os riscos mais críticos.
O Wiz encaminha automaticamente os problemas às equipes de desenvolvimento da Avery Dennison em ferramentas que já fazem parte de seu fluxo de trabalho, capacitando os desenvolvedores e economizando um tempo considerável.
O Wiz permite que a Avery Dennison mantenha a confiança do cliente ao fornecer uma plataforma de ponta a ponta para segurança na nuvem.
Construindo uma estratégia digital preparada para o futuro
Quando você é uma empresa estabelecida que procura abraçar as oportunidades que as novas tecnologias apresentam, manter os dados e sistemas seguros é a chave para o sucesso. Um excelente exemplo é a Avery Dennison, criadora e fabricante global de etiquetas e materiais funcionais. Com uma história que remonta a 1935, a empresa buscou preparar sua organização para o futuro migrando para a nuvem.
A jornada digital da Avery Dennison está bem encaminhada, com produtos digitais já sendo entregues aos clientes, incluindo o atma.io, uma plataforma que atribui IDs digitais exclusivos a itens do dia a dia — permitindo o rastreamento, armazenamento e gerenciamento de todos os eventos associados a cada item.
Jeremy Smith, cujo papel como vice-presidente de segurança da informação da Avery Dennison abrange de tudo, da proteção das fábricas à segurança digital, explica que a mudança da Avery Dennison para o digital apresentou novos desafios de segurança. Isso porque a mudança do ambiente local para a nuvem implicou a adoção e a proteção de várias nuvens e Kubernetes.
"Estávamos tentando resolver um problema que não tinha uma resposta simples. Tivemos que descobrir a pilha de segurança apropriada para nosso cenário distribuído, e passamos muito tempo procurando soluções de segurança nativas em nossos ambientes na nuvem”, afirma Smith. “O que descobrimos rapidamente foi que era difícil reunir soluções de diferentes provedores de nuvem para chegar a uma boa postura de segurança em nuvem – inclusive entender que a configuração incorreta era difícil dentro dessas ferramentas.”
Ganhando visibilidade em uma propriedade multinuvem
Uma avaliação em relação a uma série de soluções concluiu que o Wiz poderia fornecer à Avery Dennison uma visão priorizada dos riscos em seu ambiente multinuvem, completa com contexto sobre riscos e correções.
Existem muitos produtos por aí que emitem muitos alertas, e então você tem que analisar e determinar quais são de maior risco. Ter o contexto no Wiz para poder atribuir imediatamente uma pontuação de risco é realmente útil.
Além disso, durante a prova de conceito inicial, a Avery Dennison rapidamente viu o impacto do Wiz. “Trabalhar com soluções de segurança anteriores que exigiam que os desenvolvedores instalassem agentes muito rapidamente fez com que os projetos de segurança parassem”, afirma Smith. “A segurança não pode ser um bloqueador – as soluções precisam ser facilmente acessíveis e úteis para os desenvolvedores.”
A Avery Dennison inicialmente implantou o Wiz em novos produtos de nuvem que estão sendo criados no Microsoft Azure e, desde então, assegurou seu patrimônio multinuvem no Amazon Web Services, Google Cloud e Oracle Cloud Infrastructure. A solução sem agentes do Wiz permitiu que a Avery Dennison configurasse facilmente com apenas uma configuração secundária. “Usamos a maioria dos principais provedores de nuvem e observamos valor imediato ao implantar o Wiz. Encontramos configurações incorretas e outros problemas, e o Wiz nos deu visibilidade sobre a postura geral de segurança em nossa nuvem que não poderíamos unir facilmente com outras soluções.”
Um processo simplificado, centrado no desenvolvedor e fácil de entender
Com diferentes equipes de desenvolvimento trabalhando em nuvens diferentes, encaminhar os devidos problemas às pessoas certas pode ser um desafio. Com o Wiz, foi fácil. Hoje, a Avery Dennison envia automaticamente tíquetes priorizados para vulnerabilidades de segurança aos desenvolvedores certos dentro das ferramentas que eles já estão usando, tornando a segurança uma parte natural de seu fluxo de trabalho e economizando tempo considerável.
“Uma de nossas maiores preocupações era se nossos desenvolvedores entenderiam qual problema corrigir ao receberem alertas”, afirma Smith. “Isso não tem sido um problema, porque os alertas são escritos de forma facilmente compreensível e com um nível de risco atribuído — o que significa que os desenvolvedores não precisam gastar tempo determinando quais alertas resolver primeiro.”
Nossos desenvolvedores agora veem as vulnerabilidades de segurança como problemas que estão sob sua responsabilidade e os quais precisam resolver. Não é mais apenas um problema de segurança de TI.
Graças às avaliações automatizadas que o Wiz oferece, a equipe de segurança de Smith é capaz de economizar tempo e se concentrar em abordar outras áreas de risco. “Por exemplo, conseguimos implementar um novo processo em que nossos desenvolvedores são obrigados a se livrar de recursos de nuvem não utilizados – o que também nos economiza dinheiro – e corrigir esses itens deixados offline, para que não representem um risco assim que alguém clicar no botão 'ligar'.”
Progredindo em direção à segurança de confiança zero
O gerenciamento de direitos é um caso de uso particularmente importante para avançar com a segurança de confiança zero, dada a facilidade com que os direitos de acesso baseados em função a ambientes de nuvem podem ser provisionados em excesso. Além disso, os direitos entre provedores de nuvem muitas vezes podem variar e ser difíceis de padronizar.
“Continuaremos a amadurecer o Wiz nessa área de foco, porque gerenciar direitos de função – entender o que e por que um serviço está sendo usado, e por que alguém recebeu certos direitos quando está sendo provisionado – é fundamental para nossa iniciativa geral de confiança zero”, explica Smith. Essa iniciativa faz parte de um programa estratégico para expandir o foco de segurança da Avery Dennison da proteção da infraestrutura interna de TI para a construção de confiança entre os clientes e a proteção dos novos produtos digitais que a empresa oferece.
Uma empresa segura e focada no digital
As equipes de segurança da informação da Avery Dennison agora estão mais alinhadas com os líderes de negócios, e Smith considera o Wiz um divisor de águas para garantir que a empresa possa continuar sua jornada digital.
Nossa jornada na nuvem está revolucionando a empresa, por isso é fundamental que possamos protegê-la. O Wiz é nossa plataforma de ponta a ponta para segurança em nuvem e uma parte importante dessa jornada. Ele tem sido um divisor de águas para nós – e a ferramenta de segurança que usamos para nossa infraestrutura de nuvem.
