Desafio
As equipes de segurança e DevOps da Fiverr encontraram dificuldades para colaborar efetivamente em metas de segurança.
A Fiverr sabia que tinha que estabelecer fluxos de trabalho de segurança que fossem de apoio, em vez de interromper o trabalho da organização.
Fiverr precisava criar uma linguagem comum para que a equipe de segurança se reportasse a outras partes interessadas no negócio.
Solução
Ao definir metas de segurança claras e mensuráveis, o Fiverr estabeleceu uma linguagem compartilhada e confiável para discutir as necessidades de segurança.
A equipe de segurança da Fiverr conectou a Wiz às ferramentas de gerenciamento de projetos de DevOps para enviar novas descobertas de segurança e ajudar os desenvolvedores a priorizar riscos.
Com os painéis Wiz, a equipe de segurança da Fiverr pode facilmente capturar e compartilhar informações atualizadas com colaboradores e gerência.
Unindo segurança para eliminar vulnerabilidades críticas
A Fiverr foi fundada para dar às pessoas a capacidade de comprar e vender serviços digitais da mesma forma que podem comprar bens físicos, e sua missão motriz é mudar a forma como o mundo funciona em conjunto. Quando Idan Pinto, engenheiro de DevSecOps da Fiverr, se juntou à empresa, a segurança na nuvem era uma responsabilidade coletiva. Isso significava que as equipes de produto gerenciavam suas próprias vulnerabilidades e a conformidade com o PCI era monitorada e gerenciada por outra equipe; as subsidiárias estavam gerenciando seus próprios riscos. Esse sistema tornou difícil para a Fiverr entender quem era responsável pelos riscos associados, especialmente quando se tratava de serviços legados e ferramentas preteridas.
Fazer uma mudança em toda a organização nesse processo foi um longo caminho, mas agora, os esforços de segurança da Fiverr e sua infraestrutura de nuvem foram consolidados na AWS e no GCP. Isso inclui as subsidiárias da Fiverr, para que a equipe tenha controle total sobre a postura de segurança da empresa. Conectar todas as informações de segurança da empresa com a Wiz e outras ferramentas de segurança trouxe à tona algumas vulnerabilidades críticas em toda a empresa.
Com o gerenciamento de segurança consolidado, a equipe de segurança da Fiverr se propôs a encontrar e corrigir vulnerabilidades em toda a organização. Essas informações ajudaram a equipe a operacionalizar seus esforços de correção, criando processos de detecção e monitoramento de segurança no ciclo de vida de trabalho existente da equipe de DevOps. "A próxima etapa para nós foi pegar toda a nossa pesquisa, compartilhá-la com a liderança e, em seguida, introduzir essas informações nos fluxos de trabalho de DevOps do dia a dia sem mudar a maneira como eles funcionam", disse Pinto. Ao colaborar durante as reuniões semanais e integrar suas ferramentas de gerenciamento de segurança juntas, eles foram capazes de abordar seus maiores riscos prioritários e reduzir vulnerabilidades críticas a zero.
Consolidamos nosso processo de gerenciamento de vulnerabilidades combinando nossas outras ferramentas com a Wiz. Agora podemos agregar todas as nossas descobertas e notificar o proprietário certo rapidamente.
Criando confiança em toda a organização usando o Wiz para criar uma linguagem de segurança compartilhada
Um dos maiores desafios que vem com a implementação de mudanças em toda a empresa é fazer com que as pessoas entendam por que elas são tão importantes. "Precisávamos demonstrar aos nossos parceiros de negócios como a segurança era um facilitador, não um desabilitador para a organização", disse Pinto. Esse processo envolveu meses de reuniões com as partes interessadas para comparar a infraestrutura de nuvem existente da Fiverr com a versão que a equipe de segurança esperava ver – um sistema com zero críticos em apenas seis meses.
A equipe de segurança usou a Wiz para mostrar os riscos que afetam a organização e informou outras equipes sobre o custo potencial para a empresa se esses riscos não fossem abordados. Suas reuniões semanais ajudaram a equipe de segurança a estabelecer quais riscos Fiverr poderia aceitar e quais precisavam ser tratados com urgência. "Nossa abordagem foi toda sobre a construção de confiança com nossos parceiros de DevOps", disse Pinto. "E usando o Wiz, não precisamos dizer muito. Eles podem ver e entender exatamente o que estamos vendo, para que possamos estar na mesma página."
Como a Wiz nos dá uma linguagem compartilhada, posso colaborar com nossa equipe de DevOps durante reuniões semanais para que todos entendam completamente quais etapas precisam ser tomadas em um problema. Isso pode ser remediação. Pode ser aceitar um certo risco. O importante é que tenhamos a capacidade de falar sobre isso.
Juntos, segurança e DevOps trabalharam a partir dessas reuniões para criar fluxos de trabalho automatizados para encontrar e remediar riscos sem interromper outros projetos de desenvolvimento valiosos. Ao conectar a Wiz às ferramentas de gerenciamento de projetos e comunicação da Fiverr — Monday.com, JIRA e Slack — as vulnerabilidades agora são encontradas e consolidadas e agregadas em um só lugar. Depois que a equipe de segurança analisa as descobertas, os tickets são abertos automaticamente. "Nossas equipes de DevOps são donas parciais de nossos problemas mais críticos", disse Pinto. "Ao conectar nossas plataformas à Wiz, podemos criar automaticamente tickets JIRA ou Monday para garantir que a equipe os veja, para que as vulnerabilidades sejam tratadas rapidamente."
À medida que novas descobertas são enviadas para cada sprint de desenvolvimento, o Fiverr é capaz de acompanhar os riscos potenciais à medida que são encontrados, e o trabalho de correção é integrado diretamente às tarefas diárias de DevOps. A equipe de segurança pode exportar facilmente dados da Wiz e relatar o progresso aos líderes de DevOps durante as reuniões semanais, para que a equipe possa continuar a iterar. "Tomar medidas para melhorar nossa postura de segurança é um esforço de equipe", acrescentou Pinto. "Poder explicar a todos o que conquistamos e o que mais podemos alcançar ajuda as pessoas a entender minha agenda e mantém nossa infraestrutura segura."
Fiverr acelera o desenvolvimento de recursos ao atingir "zero crítico"
A chave para o sucesso da segurança da Fiverr tem sido seu foco em melhorar o relacionamento em equipe. Segurança e DevOps são capazes de se comunicar de forma eficiente e confiar que cada equipe está trabalhando para os mesmos objetivos. "Construímos confiança com nossas equipes e com a Wiz", disse Pinto. "Ficamos muito satisfeitos com o suporte e a capacidade de resposta da equipe Wiz e, juntos, projetamos um sistema, fizemos uma grande mudança em nosso design de arquitetura e agora temos zero críticas."
A Wiz também ajuda as equipes de DevOps a economizar tempo fazendo a transição de varreduras baseadas em script para APIs. Ser capaz de ver e compartilhar informações entre equipes sem recursos adicionais abre novas maneiras de agir colaborativamente em insights importantes mais rapidamente. "É útil ver que estamos economizando tempo de engenharia e podemos exportar informações úteis imediatamente", disse Pinto. "Isso também significa que nossas equipes podem se concentrar no desenvolvimento de novos recursos." Ao continuar a integrar novos recursos em fluxos de trabalho e plataformas adicionais como o GitHub para identificar mais claramente os proprietários do projeto, a equipe pode crescer mais rápido e fortalecer ainda mais sua postura de segurança.
Normalmente, a coisa mais difícil para uma equipe de segurança é pegar todas as nossas descobertas e escolher a certa para se concentrar. A Wiz nos dá a capacidade de encontrar as vulnerabilidades mais críticas em nossa infraestrutura para garantir que estamos resolvendo os problemas que terão o maior impacto.
Fiverr foca no futuro com mais automação
Equipado com um kit de ferramentas crescente e uma equipe mais colaborativa, o Fiverr atingiu a meta da equipe de segurança de zero vulnerabilidades críticas, mas seu compromisso com a segurança na nuvem não'Não para por aí. À medida que a organização se propõe a continuar a eliminar problemas de alta prioridade à medida que surgem, ela vê uma nova oportunidade de se concentrar no tempo de execução e nas vulnerabilidades no código da organização. Isso inclui a varredura e a correção em todo o pipeline de CI/CD da organização. "Chegar a este ponto levou meses de gestão de mudanças e trabalho em equipe, mas agora estamos todos trabalhando juntos em direção aos mesmos objetivos, e é uma vitória para todos", disse Pinto.
