Desafio A BMW queria permitir que as equipes internas usassem as tecnologias de nuvem de que precisam, ao mesmo tempo em que implementava controles que não adicionassem atrito ou custo adicional aos projetos.
O fabricante buscou uma solução independente de nuvem que pudesse se conectar a várias nuvens e fornecer um ponto centralizado para visibilidade e governança de segurança.
Garantir uma segurança robusta era fundamental, mantendo a agilidade das equipes de desenvolvimento.
SoluçãoA BMW reduziu o atrito e criou fluxos de trabalho mais contínuos entre segurança e DevOps, integrando o Wiz às ferramentas existentes que enviam facilmente informações para as equipes de DevOps.
Os recursos sem agente e agnósticos de nuvem da Wiz forneceram à BMW visibilidade incomparável de toda a sua infraestrutura de nuvem.
Os desenvolvedores da BMW agora têm visibilidade dos problemas de segurança com etapas de correção detalhadas, tornando a segurança mais digerível e acionável sem prejudicar os processos de desenvolvimento.
95% decrease
in critical cloud security issues
95% of Wiz users
outside of the security team
Complete visibility
into thousands of cloud workloads within a few days
Uma transformação digital para um inovador reconhecido A BMW tem estado na vanguarda da mudança para veículos elétricos e carros conectados – um processo que reforçou o compromisso da empresa com a adoção da nuvem e priorização da digitalização entre as equipes. Esse movimento em direção à digitalização permeou os processos de desenvolvimento, logística, montagem e pesquisa.
Veículos elétricos e carros conectados realmente aceleraram o mercado. Portanto, temos que ser muito mais rápidos. Isso gerou muitas necessidades de TI, e a nuvem é uma das grandes coisas.
A BMW priorizou suas estratégias de segurança para enfrentar os desafios e complexidades exclusivos das arquiteturas e operações baseadas em nuvem.
Objetivos em uma empresa com visão de futuro A BMW reconheceu o potencial das tecnologias de nuvem desde o início. No entanto, a introdução dessas tecnologias também traz preocupações de segurança exclusivas. A falta de controles adequados pode levar à exposição acidental de dados, potencialmente prejudicando a postura de segurança da empresa e a posição de liderança no mercado. No entanto, controles de segurança excessivamente restritivos podem prejudicar a produtividade e a criatividade do desenvolvedor e adicionar tempo e custos mais altos aos projetos.
Roland Lechner, diretor de segurança de TI da BMW Worldwide, diz que, em sua busca por uma solução de segurança amigável ao desenvolvedor, ele "queria dar a eles algo em que'é fácil fazer a coisa certa, para que eles possam se concentrar na construção de funções para o negócio e melhorar o negócio. Muitas vezes, a segurança é o oponente do desenvolvimento rápido. Se você resolver esse enigma, você're dourado." A BMW reconheceu a necessidade de um equilíbrio delicado para garantir que os desenvolvedores possam continuar a criar produtos inovadores em escala sem comprometer a segurança.
Como uma empresa com padrões historicamente altos, a BMW entendeu que precisava de visibilidade e transparência centralizadas em seu complexo ambiente multinuvem. Essa visibilidade foi fundamental para identificar riscos e vulnerabilidades de segurança. A BMW vinha usando ferramentas de segurança nativas da nuvem com diferentes controles e conjuntos de regras, que não forneciam a padronização e a visão global de que precisavam.
Melhorar a eficiência operacional era outro objetivo importante para a BMW; A empresa precisava atender às suas necessidades de segurança, mas também simplificar os processos e reduzir o esforço manual. Lechner comentou: "Isso'é muito fácil em segurança se perder em ferramentas. Os departamentos de segurança são notórios por terem o maior número de ferramentas de qualquer departamento de TI. Então, para nós, era importante obter as ferramentas certas a bordo e chegar ao ponto em que podemos ajudar as pessoas a fazer a coisa certa."
Trazendo Wiz a bordo (e contendo Log4j) A BMW analisou várias soluções; Lechner lembra que eles buscaram "a solução CSPM ou soluções que eram independentes de nuvem e nos davam muita supervisão sem atrito adicional". A equipe começou a olhar para Wiz. Lechner explica que ficou impressionado com o plano de produto da Wiz: "Gostei muito do roteiro do produto, que achei muito ambicioso".
O próximo grande (e inesperado) fator decisivo para a BMW foi o Log4j. Enquanto a BMW ainda estava na fase de avaliação com o Wiz, a vulnerabilidade Log4j foi descoberta – exigindo ação e correção rápidas. Nas palavras de Lechner, "em poucos dias, a Wiz integrou todas as nossas cargas de trabalho na nuvem e nos deu total transparência sobre onde tínhamos instâncias vulneráveis do Log4j, onde elas estavam inativas e assim por diante. Isso foi muito, muito impressionante." Guido Roesler, gerente de operações de TI, diz: "com um sistema local, era muito mais difícil coletar todas as informações onde o Log4j está disponível. Teríamos usado muitas listas enormes do Excel e perguntado equipe por equipe se eles usavam o Log4j." A equipe implementou o Wiz abordou a situação em suas implementações de nuvem muito rapidamente.
Conseguimos obter transparência sobre a situação do Log4j. Tivemos visibilidade de nossas cargas de trabalho na nuvem em poucos dias, e isso nos colocou na frente da onda. Com nosso antigo sistema local, era muito mais difícil coletar todas as informações sobre onde o Log4j está disponível. E naquela época, a visibilidade com Wiz realmente foi um divisor de águas para nós.
A experiência também ressaltou para a BMW a importância da visibilidade para sua solução. Lechner reflete: "Quando lançamos nossa RFP para o CSPM, pensei que a correção automática era meu maior ponto. E descobri rapidamente, com o Log4j, que a transparência era a grande coisa para mim."
Transparência incomparável, colaboração aprimorada Depois de vencer rapidamente a ameaça do Log4j, a BMW'O trabalho de segurança com Wiz continuou com uma revelação esclarecedora. "Encontramos muito mais cargas de trabalho na nuvem do que pensávamos," compartilhou Lechner. Essa percepção foi uma prova da BMW'na decisão de obter visibilidade total em todo o seu cenário de nuvem. Roesler mais tarde comentou sobre a transformação, "a abordagem sem agente do Wiz nos ajudou a obter total transparência sobre a situação de segurança na nuvem alguns dias após a implantação. Isso" Essa visibilidade também cria meios simplificados para relatar atualizações do sistema para executivos e outros membros da equipe. Em relação à visibilidade da infraestrutura, Lechner diz: "Eu apenas entro no Wiz e procuro. Eu'farão isso, por exemplo, antes de reuniões com vice-presidentes ou vice-presidentes seniores."
A integração do Wiz na BMW'O ambiente de nuvem trouxe outros benefícios significativos, incluindo a aproximação entre desenvolvedores e equipes de segurança.
A governança de segurança de TI tem sido tradicionalmente alguém dizendo "Você tem que corrigir essas vulnerabilidades." Agora, as pessoas podem olhar para cima e dizer: "Este é o caminho do ataque, e é isso que devo fazer." Isso nos aproximou dos desenvolvedores e mostrou que nos preocupamos em tornar a correção fácil para eles, não difícil.
Essa mudança na dinâmica transformou a empresa', democratizando o trabalho de segurança entre as várias equipes. Roesler diz: "95% dos usuários do Wiz são as equipes de DevOps que precisam cuidar da segurança. Também temos outras equipes focadas em tecnologia, como equipes de arquitetura, que desejam saber sobre a cobertura de suas tecnologias na nuvem."
Além disso, a implementação do Wiz ajudou a melhorar a postura de segurança da BMW. Roesler refletiu: "Em comparação com o momento em que, quando ligamos o Wiz, o número de problemas críticos diminuiu 95%. Se considerarmos que o número de cargas de trabalho em nuvem dobrou nesse período, a taxa de sucesso é ainda maior."
Próximos passos para um negócio revolucionário A democratização da segurança na nuvem da BMW nas equipes globais de DevOps facilitou o gerenciamento de riscos mais proativo. As equipes da BMW têm a visibilidade necessária para entender melhor as vulnerabilidades e tomar medidas de correção rapidamente.
Cada equipe deve corrigir os problemas. Wiz fornece todas as informações e também fornece um guia sobre como remediar.
Além da segurança, a BMW fez melhorias com sucesso na eficiência operacional. O uso de relatórios de segurança abrangentes gerados pelo Wiz reduziu significativamente o esforço manual exigido pelas equipes. Mudanças como essa permitem que a BMW concentre seus recursos na inovação e na promoção do crescimento dos negócios.
Em um futuro próximo, a BMW pretende expandir o Wiz para mais aspectos de seu programa de segurança em nuvem, incluindo a expansão do uso do Wiz Code para detectar problemas no início do pipeline de desenvolvimento, lançando recursos do Kubernetes e avançando para operações sofisticadas de detecção e resposta em nuvem (CDR).
A abordagem inovadora da BMW para segurança, juntamente com a Wiz'solução robusta de segurança em nuvem, resultou em uma parceria de sucesso. A BMW conseguiu aproveitar as tecnologias de nuvem com segurança, mantendo-se à frente da curva.