Desafio
A esure opera em um setor altamente regulamentado, onde a proteção das informações dos clientes é fundamental.
A esure não tinha visibilidade abrangente de seu complexo ambiente multinuvem.
Um ciclo de implantação acelerado estava deixando mais difícil para a equipe da esure manter o monitoramento da segurança.
Solução
A esure pode avaliar facilmente os padrões de conformidade graças às estruturas e aos relatórios integrados do Wiz.
A equipe de segurança da esure tem uma visibilidade consistente de todo seu ambiente multinuvem, com uma imagem clara dos riscos em todas as nuvens.
A esure pode priorizar o risco usando o Wiz, permitindo a correção rápida, deixando que os desenvolvedores se concentrem nos riscos mais críticos.
A mudança para a nuvem com a manutenção da segurança
Empresa inovadora no mercado de seguros do Reino Unido, a esure foi pioneira para a compra de seguros de carro e casa online. A segurança tem estado na vanguarda de uma transformação digital que permitiu à esure continuar a revolucionar o mercado e a oferecer novos produtos numa plataforma focada no cliente. A estratégia da empresa é ser segura por design e incorporar segurança em todas as etapas do desenvolvimento.
Ao desativar a tecnologia legada e migrar para a nuvem, a esure abriu novas oportunidades, mas também enfrentou novos riscos. A equipe de segurança da empresa tinha visibilidade limitada de seu complexo ambiente multinuvem, sem ter uma priorização clara dos riscos. A solução existente da esure também produzia alertas constantes e falsos positivos, dificultando a identificação de qual era mais premente. Isso implicava em perda de tempo para triar alertas que não representavam riscos reais.
A maior mudança de um ambiente local para um ambiente em nuvem é a grande quantidade de vetores de ataque que precisam de proteção.
Para Kenichi Shibata, engenheiro de DevSecOps da esure, o grande problema é a priorização de centenas de milhares de vulnerabilidades e, depois, desenvolver relatórios sobre o assunto para que o executivo possa avaliar o nível de risco. "Em um mar de vulnerabilidades, em quais devemos focar a atenção?", diz Shibata.
O ciclo de vida de implantação na esure também passou de uma vez por mês para uma vez por semana e está se movendo para uma vez ao dia, criando um desafio ainda maior para a manutenção da segurança. A equipe precisava garantir que essa implantação rápida fosse suportada sem comprometer a segurança. Ao automatizar as etapas de planejamento e implantação, a esure passou a conseguir identificar riscos de segurança logo no início.
Com um amplo e complexo ambiente e com o amadurecimento contínuo na nuvem, isso foi se tornando uma prioridade cada vez mais importante. O Wiz foi identificado como a melhor opção para a esure devido ao seu foco na priorização de riscos e aos recursos centralizados de sua plataforma CNAPP, que vão além das ferramentas tradicionais de CSPM, incluindo DSPM, CIEM, análise do caminho do ataque e varredura de segredos nos repositórios do GitHub.
Maior visibilidade permite uma correção mais rápida
A esure usa seu próprio painel de indicadores de risco-chave, consolidado em Grafana, para visualizar qualquer risco em seu estado de nuvem e fornecer uma visão de gravidade para o nível executivo. O Wiz facilitou a fusão com os processos e fluxos de trabalho existentes usados pelos desenvolvedores, sem a necessidade de adaptação a novas ferramentas.
Ao enviar os dados do Wiz para o painel do Grafana, a esure conseguiu estabelecer um "painel único de segurança" que inclui uma variedade de pontos de dados, facilitando a triagem pelos desenvolvedores e a priorização dos riscos para correção pelos executivos.
Precisávamos ter uma ferramenta para nos dar visibilidade e medir o risco em todos os nossos ambientes de nuvem, além de priorizá-los. Conseguimos isso com o Wiz.
Isso já ajudou nos relatórios internos, com o gráfico de segurança do Wiz facilitando o compartilhamento de consultas com os executivos da empresa. Quando informações mais detalhadas são necessárias, a equipe de segurança da esure oferece acesso aos desenvolvedores ao autoatendimento no Wiz para poderem obter o contexto completo sobre os caminhos de ataque e correção.
"Após implementar o Wiz, conseguimos dar um alcance mais amplo a todas as nossas equipes e aumentamos nossa visibilidade nas plataformas de nuvem", diz Richard Frost, CISO da esure. "Isso nos permitiu reduzir o tempo para corrigir alguns dos riscos que identificamos."
Graças a essa maior visibilidade, a esure agora remove proativamente os riscos críticos em seu ambiente e pode tomar medidas para reduzir sua superfície de ataque à nuvem. Como resultado, as equipes estão muito mais confiantes de estarem corrigindo coisas certas no momento certo. E agora que eles não precisam mais filtrar milhares de alertas, a produtividade também aumentou.
É fácil rastrear e manter a conformidade em todos os ambientes
Em um setor altamente regulamentado como o de seguros, manter a conformidade é fundamental. Antes de implementar o Wiz, a esure encontrou estruturas de conformidade desafiadoras na nuvem, porque grande parte de seus relatórios de conformidade eram manuais.
A esure agora usa as estruturas de conformidade integradas do Wiz e os benchmarks CIS para avaliar a conformidade em todo o seu ambiente e facilmente gerar relatórios sobre sua postura de conformidade para as equipes de auditoria. Com a avaliação contínua e os relatórios automatizados gerados pelo Wiz, a empresa pode ver rapidamente como ela se compara às estruturas de conformidade para cada uma de suas diferentes contas e assinaturas.
Antes do Wiz, era um processo difícil e manual para gerar relatórios sobre as estruturas de conformidade na nuvem. Ter uma ferramenta como o Wiz permite que a esure veja muito rapidamente como nos comparamos contra uma estrutura de conformidade para cada uma de nossas diferentes contas e assinaturas.
Os relatórios de conformidade agora são padronizados e trimestrais, gerados e baixados através do portal do Wiz.
A esure também está usando o gerenciamento de segurança de postura de dados (DSPM) do Wiz para obter uma visão completa de informações confidenciais em todas as suas plataformas de nuvem. A empresa também valoriza a capacidade de o Wiz obter uma visão completa de todos os recursos da esure na nuvem. "Por exemplo", diz Frost, "temos CrowdStrike em todas as nossas instâncias não efêmeras? Como é o nosso software de final de vida? E configurando alertas. Todos esses outros recursos ao redor da borda são realmente úteis."
O Wiz dá confiança para que as equipes de segurança olhem para o futuro
A gama de funcionalidades que o Wiz fornece para a esure em uma única plataforma aliviou as pressões de compras em andamento e concentrou a atenção apenas nas vulnerabilidades. Isso é vital para a equipe em um momento de aumento nos ataques cibernéticos, incluindo ameaças de gangues de ransomware.
A equipe da esure agora ficou liberada para se aprofundar nas táticas dessas gangues para entender como elas conseguem violar ambientes seguros, além de quais controles podem ser implementados para evitar esses ataques. "Estamos mais focados no futuro em vez de reativos aos problemas", diz Shibata. "Estamos antecipando violações, em vez de apenas reagir a elas. Isso nos dá muita confiança."
Trabalhar com o Wiz, como uma equipe, é muito colaborativo. Conseguir começar a funcionar em algumas semanas foi incrível.
Até agora, a solução do Wiz tem sido usada pelas equipes de operações e arquitetura de segurança da esure com um exercício de "capturar a bandeira" executado pelo Wiz para apoiar o trabalho entre equipes e impulsionar a adoção da tecnologia Wiz em toda a empresa. A próxima etapa é integrar as equipes do centro de operações de segurança (SOC) da esure, com um comprometimento voltado para a segurança, deixando a empresa livre para crescer e desenvolver novos produtos.
"A próxima etapa em nossa jornada de segurança é nos tornarmos cada vez melhores com constante aperfeiçoamento", diz Frost. "O Wiz é fundamental para essa jornada na nuvem."
Quer saber como seu programa de segurança na nuvem pode alcançar os mesmos resultados da esure? Confira em detalhes as soluções do Wiz em segurança na nuvem para serviços financeiros.
