Desafio
Obter visibilidade dos riscos mais críticos no ambiente conteinerizado de produção da Copper
Fortalecer o perfil de segurança sem interromper as operações ou desenvolvimento
Resolver vulnerabilidades e derivar antes que o código entre em produção
Solução:
Proteger contêineres da digitalização de imagens no pipeline e gerenciamento de vulnerabilidades na produção usando o Wiz
Fornecer visibilidade imediata da produção com a abordagem sem agentes do Wiz que pode ser escalada sem atritos
Estender a segurança para o pipeline de CI/CD ao digitalizar imagens de contêineres com o Wiz-CLI
Ficar à frente de concorrentes e ameaças
Para a Copper Technologies Ltd., seu destaque no mercado de ativos digitais e criptomoedas a coloca diretamente na mira de certos maus atores. “Há muito poucos setores em que uma única violação pode destruir uma empresa inteira”, afirma Adam Schoeman, CISO interino da Copper. “O nosso é um deles.”
Fundada em 2018, a Copper lançou a ClearLoop, sua tecnologia de custódia de criptomoedas, para permitir que investidores institucionais negociem com exchanges de criptomoedas sem precisar transferir ativos digitais para uma exchange antes de uma negociação. O premiado aplicativo de custódia da Copper minimiza os riscos de contraparte e reduz o tempo para os saques de seus clientes.
Tudo isso exige que a Copper esteja na vanguarda da cibersegurança fintech. “O crescimento explosivo da nossa plataforma combinado com nosso papel neste setor significa que somos um alvo e que devemos permanecer vigilantes sobre a cibersegurança”, afirma Schoeman. “É por isso que criamos nossa própria divisão de inteligência de ameaças, e por isso precisávamos de uma maneira de melhorar nossa visibilidade em nosso ambiente de produção nativo na nuvem.”
A plataforma da Copper é totalmente conteinerizada e executada no Amazon Web Services (AWS). “Quando entrei na empresa, não tínhamos como monitorar nossos contêineres em tempo real em busca de vulnerabilidades”, afirma Schoeman. “Não conseguíamos identificar e priorizar com eficiência nossos riscos mais críticos no ambiente de nuvem e contêineres.”
Reduzindo o risco na nuvem com visibilidade sem agentes
Quando Schoeman descobriu o Wiz, uma solução de segurança nativa na nuvem 100% sem agentes e baseada em gráficos, ele sabia que havia encontrado a resposta para os desafios de segurança da Copper. “Precisávamos de uma solução não invasiva para nosso ambiente de produção conteinerizada que não exigisse agentes, não fosse muito ruidosa e não exigisse varredura em tempo real”, afirma Schoeman. “Escolher o Wiz foi uma tarefa fácil – nenhuma outra ferramenta chega perto.”
Escolher o Wiz foi uma tarefa fácil – nenhuma outra ferramenta chega perto. Estou convencido de que o Wiz é a maneira mais livre de atritos para executar a segurança na nuvem.
Schoeman ficou impressionado com a facilidade de implantar o Wiz e começar a ver resultados. “Instalamos o Wiz em questão de minutos e o adquirimos no mesmo dia”, ele afirma. “Estou convencido de que o Wiz é a maneira mais livre de atritos para executar a segurança na nuvem.”
Hoje, a equipe de segurança da Copper conta com o Wiz para digitalização de imagens, visibilidade de contêineres em produção, gerenciamento de vulnerabilidades, triagem de contexto de ameaças e muito mais. “O Wiz nos fornece a telemetria, o monitoramento e a visibilidade completos de que precisamos para o gerenciamento de vulnerabilidades”, afirma Schoeman. “Estamos usando o Wiz na pré-produção também para escanear imagens a fim de descobrir a deriva no início do pipeline.” A Copper aproveita o Wiz para proteger seus contêineres em produção, além de estender isso ao pipeline de CI/CD digitalizando imagens de contêineres com o Wiz-CLI.
A equipe de segurança faz uso extensivo do Centro de Ameaças do Wiz, especialmente para contextualizar novas ameaças. “Com um clique, podemos ver quais ameaças podem afetar nosso meio ambiente”, afirma Schoeman.
Quando o Log4j saiu, levei 15 segundos usando o Centro de Ameaças do Wiz para confirmar que nossa exposição era basicamente zero.
Proporcionando um alto nível de confiança
A equipe da Copper conta com o Wiz e seu gráfico de segurança para revelar e visualizar riscos reais com contexto acionável. “Com o Gráfico de Segurança do Wiz, podemos correlacionar vulnerabilidades para ver se elas são críticas em nosso ambiente e identificar correções com grandes impactos”, afirma Schoeman.
Ao mesmo tempo, o Wiz reduz o ruído de alerta e agiliza a análise para economizar tempo e esforço da equipe de segurança da Copper. Isso dá a Schoeman e à sua equipe de segurança um alto nível de confiança na segurança de sua plataforma e os ajuda a manter um toque leve para minimizar qualquer impacto no desenvolvimento. “O Wiz nos ajuda a explorar e priorizar riscos antes de os compartilharmos com os desenvolvedores”, afirma Schoeman.
Por ser sem agentes e não exigir manutenção contínua e solução de problemas de agentes, o Wiz ajuda Schoeman a manter sua equipe pequena e ágil.
Mesmo à medida que expandimos o uso do Wiz para DevOps, ele será um multiplicador de força para nosso número de funcionários. O Wiz não requer a inclusão de mais recursos para apresentar um alcance maior em toda a nossa organização.
Ele também mantém os custos das ferramentas baixos à medida que a segurança da Copper continua a amadurecer e a equipe explora novos casos de uso, como descoberta externa e escopo para testes de penetração, detecção e resposta à nuvem (CDR) e modelagem de ameaças. “Com o Wiz como nossa única fonte de verdade para a produção, não precisamos duplicar as ferramentas ou executar redundâncias, como fazemos com outras soluções de segurança”, afirma Schoeman. “Também não precisamos de novas ferramentas para casos de uso além do nosso motivo original para escolher o Wiz.”
Para Schoeman, trabalhar com o Wiz tem sido uma experiência reveladora. “O Wiz superou minhas expectativas quando pedimos ajuda”, ele afirma. “Eles são um dos raros fornecedores em que posso dizer que a relação é muito boa, e falo com eles regularmente.”
