Desafio
À medida que a empresa crescia, a quantidade de dados e o número de alertas também aumentavam. A empresa buscou uma nova solução que proporcionasse total visibilidade de seu ambiente com forte priorização contextual de riscos para ajudá-la a escalar e se manter eficiente.
A Fiverr queria capacitar suas equipes de desenvolvimento para se apropriarem da resolução de problemas e permitir que elas agissem rapidamente sem sacrificar a segurança.
A Fiverr tinha vários padrões e regulamentos de segurança, e procurava uma solução que fornecesse uma resposta a incidentes mais eficiente.
Solução
A Fiverr implantou o Wiz para obter visibilidade abrangente de todos os recursos em nuvem (IaaS, PaaS, SaaS), identificar e priorizar riscos de segurança e automatizar a aplicação de políticas de segurança.
A Fiverr prioriza os problemas com a correlação de gráfico contextual do Wiz, que reduz drasticamente o número de riscos críticos.
Os relatórios de conformidade são gerados automaticamente com a funcionalidade de relatórios do Wiz para ajudar a manter a conformidade com vários padrões e regulamentos de segurança.
Preenchendo a lacuna entre segurança e desenvolvedores
O gerente de segurança da Fiverr Idan Pinto sabia que precisava de uma ferramenta avançada com novos recursos e capacidades para lidar com os riscos da nuvem à medida que eles evoluem a cada dia.
"Nossa ferramenta primária anterior para gerenciamento de riscos em nuvem não nos dava a visibilidade abrangente que precisávamos de todos os nossos recursos de nuvem", explica Pinto. "Era difícil usar e obter as informações que precisávamos da ferramenta, além de que não nos fornecia o contexto necessário para avaliar adequadamente o risco para priorizar os esforços de remediação."
A Fiverr também precisava de uma solução que capacitasse suas equipes de desenvolvimento a se apropriar da segurança sem atrasá-las.
Tentar preencher a lacuna entre as equipes de desenvolvimento que só queriam se mover rapidamente e a necessidade de nossa equipe de proteger a empresa era um verdadeiro desafio. Precisávamos de uma maneira de dar aos desenvolvedores a autonomia de que eles precisam e, ao mesmo tempo, fornecer a visibilidade e o controle de que nossa equipe de segurança necessita.
A Fiverr também se beneficia da capacidade do Wiz de associar as descobertas aos diferentes padrões de segurança, como ISO27001, SOC2 e PCI DSS, e apresentá-las em um relatório.
“Ver os riscos e descobertas associados às diferentes certificações no Wiz realmente me ajuda a focar e priorizar meu trabalho”, afirma Pinto.
Priorizar os riscos mais importantes
Pinto recorreu ao Wiz para obter uma solução que não apenas fornecesse a visibilidade e o controle necessários para gerenciar riscos de segurança em todo o ambiente AWS da Fiverr, mas também ajudasse a priorizar riscos com base no contexto e no impacto sobre os negócios.
"No início, queríamos nos concentrar no gerenciamento de identidades com eventos em nuvem para capturar movimentos laterais em nossa infraestrutura de nuvem. Conectar o Wiz foi fácil com a ajuda da equipe de suporte e a documentação."
A Fiverr viu seus primeiros resultados em horas
"Nossos primeiros problemas apareceram em poucas horas. Alguns deles eram realmente interessantes, coisas que nunca tínhamos visto antes. Eles estavam relacionados com a combinação de gerenciamento de identidades e exposição externa, explica Pinto. "Depois disso, começamos a conectar mais e mais contas e agora temos visibilidade total da nossa infraestrutura em nuvem com a capacidade adicional de ver todos os eventos em nosso ambiente."
Com a Detecção e Resposta em Nuvem do Wiz, Pinto conseguiu finalmente dar aos desenvolvedores as ferramentas necessárias para agir com mais autonomia.
Usamos o Wiz para monitorar e nos alertar sobre alterações em nosso ambiente de AWS que possam ser riscos de segurança. Atribuímos todos os problemas aos proprietários que executam a alteração e damos às nossas equipes de desenvolvimento a capacidade de autoatendimento de suas próprias necessidades, ao mesmo tempo em que permanecemos em conformidade com nossas políticas de segurança interna.
Usando o Wiz, Pinto e sua equipe conseguiram resolver rapidamente os riscos.
"Tivemos alguns cenários em que conseguimos identificar problemas precocemente e evitar que se tornassem incidentes completos.” Com o Wiz, Pinto conseguiu não apenas agilizar os esforços de correção dos padrões de segurança, mas também mapear automaticamente os riscos nos relatórios de conformidade. "Isso tem sido uma grande ajuda para nós na manutenção da conformidade com vários padrões e regulamentos de segurança."
Correção rápida com recursos mínimos
Desde a implantação do Wiz, a Fiverr viu uma redução significativa em seus riscos gerais de segurança na nuvem e descobriu vulnerabilidades não identificadas pela solução anterior. A equipe também foi capaz de responder a incidentes de modo mais rápido e eficaz, economizando tempo e recursos.
"A automação que o Wiz fornece e as integrações disponíveis para nossos sistemas de mensagens ajudaram a fechar loops em tempo hábil e colaborar com nossas equipes de DevOps e P&D, afirma Pinto. "Com a priorização fornecida pelo Wiz, conseguimos nos concentrar nos verdadeiros problemas críticos em nosso ambiente."
