DesafioO provedor de soluções de análise digital FullStory queria ampliar sua visibilidade de segurança na nuvem para identificar e mitigar vulnerabilidades difíceis de prever.
A equipe de segurança da FullStory procurou nutrir a colaboração em toda a empresa, incorporando seu ethos de segurança em toda a organização, para o benefício de todos.
O FullStory precisava de uma solução capaz de identificar riscos críticos e gerar alertas priorizados que não sobrecarregassem a função de engenharia.
SoluçãoO FullStory correlaciona problemas de segurança na nuvem em seu ambiente de nuvem e permite o contexto de tempo de execução implantando o Sensor de tempo de execução Wiz em seus clusters do Kubernetes.
Com os insights gerados pelo Wiz, a equipe de segurança pode explicar melhor aos colegas de engenharia por que os riscos precisam ser mitigados, fortalecendo ainda mais a parceria e a colaboração.
O FullStory usa o Wiz para diferenciar entre riscos críticos e hipotéticos, falsos positivos e riscos baixos/médios, para otimizar a alocação de recursos de segurança.
Revelando os gatilhos que influenciam o comportamento de compra dos consumidores Fundada em Atlanta em 2014, História completa é líder de mercado em software de análise digital para empresas digitais. Sua plataforma oferece às empresas uma visão completa de como os consumidores usam seu site, aplicativo móvel ou plataforma de software, para que possam melhorar o CX e aumentar as taxas de conversão de clientes.
Com sua tecnologia Session Replay, o FullStory permite que os fornecedores de empresas digitais vejam quando um cliente abandona seu carrinho de compras e por quê, dando aos fornecedores a oportunidade de resolver problemas de UX. O FullStory usa a tecnologia de captura automática para ajudar a revelar esses insights, extraindo as seções relevantes de HTML necessárias para recriar as interações com o cliente.
Para tornar isso possível, a equipe do FullStory usa o Google Kubernetes Engine para implantações de contêineres, o Google Compute Engine para hospedar máquinas virtuais e o BigQuery para armazenamento de dados.
Mark Stanislav, vice-presidente de engenharia de segurança, governança, risco e conformidade da FullStory, diz que concentrar-se em um único provedor de nuvem é uma escolha estratégica: "A FullStory está mergulhada no Google Cloud e sempre esteve. Uma grande segurança acaba voltando para minimizar a complexidade. Quanto menos complexidade, mais fácil é atingir seus objetivos."
Habilitando a função de engenharia por meio de colaboração reforçada Melhorar o relacionamento entre as equipes de engenharia de software e segurança da FullStory foi uma grande prioridade para Stanislav quando ele foi promovido a vice-presidente de engenharia de segurança em setembro de 2022. Sem qualquer influência da equipe de segurança, a função de engenharia da empresa já havia criado processos robustos em torno do design de software do produto, criação de documentos e revisão por pares. A equipe de engenharia tinha seus próprios processos de aprovação, que incluíam uma análise dos bloqueadores de risco de segurança na nuvem para cada produto.
Stanislav diz que seu objetivo é nutrir esse ambiente e capacitar ainda mais os engenheiros da FullStory, em vez de bloqueá-los com obstáculos de segurança. "Existe essa cultura de engenharia rigorosa e madura na FullStory", explica ele. "Contratamos engenheiros extremamente talentosos e atenciosos, por isso queremos mantê-los em movimento com segurança, em vez de colocar barreiras de segurança na frente deles", explica ele.
De acordo com Stanislav, todas as implantações de software FullStory seguem um padrão semelhante. Essa abordagem de modelo garante consistência máxima em torno da criação e implantação de novo código. Mas, apesar da equipe de engenharia preocupada com a segurança da FullStory e de um ambiente simplificado do Google Cloud com implantações padronizadas, Stanislav e sua equipe ainda precisavam de uma maneira rápida e eficaz de identificar e mitigar ameaças imprevistas ao ambiente de nuvem da empresa.
Muitas equipes de segurança são muito boas em proteger as coisas que conhecem. Portanto, o risco real está nas coisas que eles não conhecem, ou na tecnologia que eles não sabiam que foi implantada. Precisávamos de uma solução que pudesse se concentrar em nossas lacunas de segurança na nuvem, nos riscos discrepantes e nas incógnitas.
O desafio de implantar uma solução de segurança em nuvem granular, no entanto, é que as equipes de segurança podem ser inundadas com notificações (incluindo hipotéticos e falsos positivos), e esse ruído pode mascarar vulnerabilidades críticas.
A equipe de Stanislav precisava de uma solução que não apenas priorizasse riscos críticos, mas também fornecesse um contexto rico, para que pudessem explicar a urgência de mitigar vulnerabilidades específicas para a equipe de engenharia. Esse nível de percepção compartilhada fortaleceria ainda mais a colaboração dentro da FullStory.
Aproveitando uma solução "chocantemente rápida", construída do zero A FullStory adotou a plataforma Wiz com a força de pelo menos dois USPs. A primeira foi a velocidade com que os usuários podem interagir com a plataforma. "Mesmo quando você está se concentrando em consultas muito complexas e diferenciadas, as respostas de Wiz são chocantemente rápidas", diz Stanislav. "Você pode criar praticamente qualquer tipo de solicitação e Wiz responderá quase imediatamente. Outros CSPMs podem levar minutos para gerar uma resposta, o que pode ser muito frustrante."
A FullStory foi inicialmente cautelosa sobre o lançamento do Wiz', adotando uma abordagem de "aterrissar e expandir", permitindo que eles avaliem totalmente o impacto da solução. Eles provaram que o sensor não degradou o desempenho e encontraram um valor tremendo nos novos casos de uso que o sensor desbloqueia. Agora, o sensor de tempo de execução é implantado nos clusters gerenciados pelo GKE. Isso permite monitoramento em tempo real, detecção em tempo real e contexto de tempo de execução. Stanislav vê os recursos adicionais do sensor como uma extensão natural do produto principal sem agente. A adição do contexto de tempo de execução, vendo a vulnerabilidade em execução, mostra que a solução está priorizando corretamente a mitigação de riscos, adicionando outra camada de confiança para a equipe de Stanislav.
O risco com outras tecnologias de alta automação é que elas emitem tantos alertas que os usuários se desligam. Wiz, no entanto, classifica o risco de uma maneira altamente acionável. Não recebemos 200 alertas por dia, então, quando recebemos um alerta crítico, sabemos que precisamos corrigi-lo imediatamente.
Por exemplo, essa visibilidade granular pode permitir que a equipe de Stanislav identifique rapidamente uma porta de serviço exposta – um problema que, de outra forma, poderia levar meses ou anos para ser identificado. Eles também podem isolar imediatamente novas vulnerabilidades de código antes do lançamento de um produto, reduzindo o risco de segurança na nuvem a praticamente zero.
Um dos outros pontos de venda importantes do FullStory é que a plataforma Wiz foi desenvolvida de forma independente, sem nenhuma tecnologia desajeitada de terceiros. "Com muitas soluções de segurança cibernética, você pode dizer que elas foram remendadas após uma fusão ou aquisição", diz Stanislav. "É óbvio que essas plataformas não têm a mesma base de código subjacente ou as mesmas APIs. Wiz é diferente porque foi construído do zero, com uniformidade intencional. A qualidade superior resultante é óbvia."
Tornando a segurança uma responsabilidade compartilhada Stanislav e sua equipe conseguiram aprimorar ainda mais a colaboração interna, dando às equipes de engenharia acesso ao Wiz. Isso permite que eles entendam e priorizem facilmente os riscos com mais rapidez e em um nível mais granular, interrogando o gráfico de segurança da plataforma e executando relatórios de segurança precisos.
A equipe de segurança está apoiando mais partes interessadas e aumentando sua esfera de influência em toda a empresa, aproveitando os dados que a Wiz fornece para capacitar todos a desempenhar um papel na proteção do FullStory contra ameaças de segurança.
Estender a visibilidade para a equipe de engenharia é uma parte fundamental do processo colaborativo para Stanislav. Ele diz que "não é bom o suficiente dizer a um engenheiro para corrigir uma vulnerabilidade de segurança, eles querem saber por quê. Eles querem ser parceiros. Isso significa que a equipe de segurança também precisa ter uma ideia de como pode ser uma solução."
Stanislav e sua equipe agora estão explorando novas oportunidades empolgantes de parceria com partes interessadas internas de uma ampla gama de funções de negócios, compartilhando alertas de vulnerabilidade da Wiz e espalhando sua mensagem exclusiva de segurança na nuvem à medida que avançam.