Desafio
As ofertas da Bridgewater dependem de vários serviços e fornecedores de nuvem que têm suas próprias arquiteturas e abordagens, o que torna desafiador o gerenciamento da segurança, governança e inventário de todo o seu ambiente.
Anteriormente, a Bridgewater compilava relatórios de inventário e segurança manualmente; porém, à medida que a empresa adquiria mais recursos de nuvem, a tarefa exigia mais da equipe.
A Bridgewater precisava de uma solução que ajudasse a fornecer visibilidade em todo o seu ambiente híbrido e multinuvem para manter o nível de segurança necessário.
Solução
O Wiz ajuda a Bridgewater a contextualizar pontos de dados em torno de recursos e controles de nuvem para entender como eles interagem uns com os outros, mostrando uma imagem mais clara de todo o seu ambiente híbrido e multinuvem.
O Gráfico de Segurança do Wiz libera as equipes de infraestrutura crítica e segurança da Bridgewater do trabalho manual de compilação de relatórios de segurança, permitindo que elas se concentrem em trabalhos mais estratégicos e impactantes.
O Wiz oferece ampla visibilidade, permitindo resposta rápida e priorização de vulnerabilidades (ex.: Log4Shell).
Como inovar mantendo a segurança de missão crítica
Impulsionada pelo desejo de compreender as ligações fundamentais e atemporais que impulsionam o funcionamento dos mercados e economias mundiais, a Bridgewater Associates é uma importante empresa de gestão de ativos que administra cerca de US$ 150 bilhões para investidores institucionais em todo o mundo. A empresa utiliza a tecnologia para gerar, validar e executar sistematicamente suas visões sobre os mercados. À medida que a empresa inova, sua infraestrutura técnica aumenta em complexidade, o que exige avanços em seu programa de segurança de missão crítica para correspondê-la.
“Como investidores macro globais, devemos traduzir insights em estratégias de investimento”, afirma Igor Tsyganskiy, presidente e CTO da Bridgewater Associates. “Em um dia comum, podemos executar bilhões de dólares em negociações em centenas de mercados em todo o mundo, então a tecnologia e a segurança são extremamente importantes para nós.”
Melhorando a eficiência em uma infraestrutura multinuvem
Tendo trabalhado com a AWS e Azure por muitos anos, hoje os sistemas de missão crítica da Bridgewater estão todos na nuvem. A empresa precisava se transformar para acompanhar um cenário digital em rápida evolução, onde a nuvem está mudando de uma forma que pode levar a exposições se essas mudanças não forem consideradas.
A segurança é o princípio básico da forma como desenvolvemos software, mas lidar com cibersegurança é como esquiar em gelo quebrado sobre um rio: o rio está fluindo, o gelo está se movendo, e você tem que patinar. Você não sabe qual será o seu próximo movimento. Você só sabe que haverá algum, senão cairá na água.
Tradicionalmente, gerenciar todos esses recursos exigia um esforço manual significativo. Cada serviço tem configurações diferentes, e cada pequena alteração pode trazer novas vulnerabilidades. Manter-se atualizado estava afetando as equipes de infraestrutura crítica e segurança da Bridgewater, que passavam horas coletando relatórios de inventário e segurança manualmente. Seu objetivo era criar um gráfico de segurança interno para rastrear os ativos que eles queriam proteger, bem como as relações entre esses ativos e tipos de funções. Mas esse esforço demorado ainda não era capaz de acompanhar a natureza em constante mudança da nuvem e fornecer a imagem completa de que a Bridgewater precisava para manter o nível de segurança necessário.
Selecionando as ferramentas certas para combinar velocidade com segurança
Ao procurar soluções, a Bridgewater não estava interessada em produtos de segurança sob medida que pudessem resolver apenas um aspecto do problema. A empresa tinha três critérios adicionais ao avaliar uma ferramenta de segurança:
Inovação contínua
Quão completa é a ferramenta, em termos de contabilização de recursos de nuvem, dados, plano de dados, identidade, plano de controle e as relações entre eles
Facilidade de implantação sem necessidade de agentes ou amplo ciclo de desenvolvimento com atualizações contínuas
Impressionada com a capacidade do Wiz de ser implantado em horas, mesmo para as arquiteturas mais técnicas, a equipe selecionou o Wiz como seu parceiro de segurança confiável. Na verdade, “o Wiz ficou na liderança em todos esses critérios durante nossa avaliação”, afirma Rob Bruce, diretor de infraestrutura crítica da Bridgewater. “Implantamos o Wiz via ações de plano de controle em 200 contas com muita facilidade, e, em poucas horas, tínhamos o Wiz com força total nos explicando o que estava acontecendo em nosso ambiente. Nada jamais se igualou a isso em termos de implantação rápida, indolor e sem manutenção após o fato.”
Do ponto de engajamento ao ponto de ROI, foi fácil escolher o Wiz. Nem sequer tínhamos pago, mas já obtivemos resultados. Em nenhum outro lugar esse processo foi tão rápido.
Trazendo visibilidade para um ambiente complexo com facilidade
A Bridgewater rapidamente notou o valor do Wiz durante o Log4Shell, quando a empresa usou o Wiz para ver, priorizar e abordar rapidamente instâncias em risco do Log4j que não sabia que estavam presentes. “Quando o Log4Shell começou a aparecer, queríamos saber a extensão da nossa exposição. Em poucos dias, o Wiz descobriu que era 100 vezes maior do que pensávamos inicialmente”, lembra Tsyganskiy.
Isso foi possível porque o Wiz verifica todas as camadas dos ambientes de nuvem da Bridgewater a fim de fornecer visibilidade completa de cada tecnologia em execução em sua nuvem sem pontos cegos. A varredura do registro de contêineres do Wiz provou ser importante para a Bridgewater, considerando a complexa infraestrutura de tecnologia que está protegendo: recursos de nuvem ficam na AWS e Azure, e contêineres AKS e EKS gerenciados com Kubernetes.
A situação do Log4J destacou o quão notável é o Wiz: há muitas ferramentas por aí que conseguem dizer onde o Log4J está, mas ninguém mais foi capaz de dizer o que importava e o que não importava naquele cenário.
Além disso, a Bridgewater usa o Gráfico de Segurança do Wiz para contextualizar pontos de dados em torno de recursos e controles de nuvem. “O Wiz é a única empresa que descobrimos que está adotando essa abordagem de extrair todos os pontos de dados relevantes do inventário para construir um gráfico de segurança com análises baseadas nele”, afirma Bruce. O resultado é um gráfico de segurança que mostra à Bridgewater as interconexões entre tecnologias rodando em seu ambiente multinuvem, tudo a partir de um único console.
“Os membros da equipe que costumavam agrupar relatórios de segurança manualmente agora estão liberados da tarefa para se concentrar em um trabalho mais impactante e valioso”, acrescenta Tsyganskiy.
Melhorando a segurança em toda a organização
A Bridgewater está distribuindo segurança em toda a organização através da criação de estruturas personalizadas, como benchmarks CIS para equipes de desenvolvimento. “O Wiz nos permite enviar rapidamente um trabalho relevante para aqueles que podem tomar medidas em relação a ele”, afirma Bruce. “Lançamos nossas estruturas personalizadas em poucas semanas e imediatamente começamos a observar uma tração em relação aos nossos problemas.”
Os desenvolvedores foram rápidos em adotar o Wiz, com quase todas as equipes de desenvolvimento de missão crítica em toda a empresa adotando o Wiz em 30 dias, e as equipes imediatamente ganharam mais autonomia na resolução de problemas. A Bridgewater também integrou o Wiz com o Jira para automatizar seu sistema de tíquetes, que os desenvolvedores analisam durante seus sprints para corrigir riscos de modo eficiente e dentro de seus fluxos de trabalho existentes.
Desde a adoção do Wiz, as equipes de desenvolvimento agora são capazes de manter e melhorar continuamente a segurança de seus produtos, porque os membros da equipe agora veem coisas que não podiam ver antes: novos caminhos de exposição, combinações tóxicas, de que modo todos os serviços de nuvem e contêineres estão configurados e como quaisquer alterações podem afetar o sistema como um todo.
Continuar garantindo um ambiente em crescimento
Em seguida, a Bridgewater pretende otimizar o uso da gestão de inventário do Wiz. “Há um enorme potencial para onde podemos ir com a gestão de inventário usando o Wiz. Vamos entender melhor onde estão nossas máquinas, se estão atendendo aos nossos padrões BCP e se estão de acordo com nossas melhores práticas”, explica Bruce.
Na busca da Bridgewater por segurança unificada em todos os seus ambientes de nuvem, eles estão entusiasmados em estender o Wiz para seus ambientes VMware híbridos e locais. O Wiz traz visibilidade e redução de riscos para sua nuvem híbrida em uma única plataforma, e a equipe está ansiosa para implementá-lo ainda mais. Como Tsyganskiy explica: “Não existe uma nuvem privada ou nuvem pública, há apenas nuvem. Estamos na AWS e Azure e temos alguns racks de VMware que sempre estarão lá. Se nosso ambiente VMware não é seguro, nossas nuvens públicas não são seguras, e vice-versa.”
Com o Wiz, nossa equipe de segurança na nuvem ganha uma visão unificada de nossa postura de segurança e sabe o que precisamos cobrir em todo o nosso ambiente interconectado.
Além disso, a empresa está analisando o Wiz Cloud Detection and Response (CDR) para gerenciar melhor os eventos de nuvem, com contexto, à medida que eles se desenrolam. “O Wiz CDR nos permite não apenas ver onde há uma ameaça, mas também entender o quão preocupados devemos estar com isso – esse recurso tem tudo a ver com priorização efetiva.”
Além da cibersegurança, a empresa está envolvida em pesquisas de última geração que exigem escalabilidade. “Nossa pesquisa concilia o que está acontecendo em microambientes, como por exemplo uma empresa, com o que está acontecendo globalmente”, explica Tsyganskiy. O objetivo é permitir que nossos investidores entendam o que está acontecendo em um nível que nunca vimos antes para aumentar sua produtividade.” Impulsionar esse projeto poderia expandir muitas vezes o ambiente da Bridgewater. Com o Wiz em seu arsenal, a Bridgewater está confiante de que pode enfrentar quaisquer mudanças futuras.
“Nossas ambições estão nos levando a um cenário completamente novo para a cibersegurança. É difícil dizer aonde a jornada nos levará, mas sei que será difícil, desafiadora, interessante e emocionante”, conclui Tsyganskiy.
