Desafio
A MercuryGate queria criar um modelo interno de responsabilidade compartilhada em que todas as partes interessadas fossem responsáveis pela segurança de seus recursos de nuvem para reduzir custos e diminuir o tempo necessário para identificar e corrigir problemas.
Para suportar uma migração massiva para a nuvem, a M&Um crescimento futuro, a MercuryGate precisava de uma plataforma de segurança em nuvem que pudesse ajudar a proteger um ambiente grande em escala.
A empresa viu notícias de um número crescente de ataques de segurança cibernética em toda a indústria de software e queria se preparar para o futuro com uma solução que acompanhasse o ritmo de possíveis ameaças.
Solução
A MercuryGate consolidou seu monitoramento de segurança na nuvem com a Wiz. Até 75% de seus usuários não são pessoal de segurança, portanto, a segurança é uma responsabilidade compartilhada em toda a organização.
A organização usa o Wiz para reduzir o tempo necessário para verificar todo o seu ambiente de nuvem em busca de riscos e pode revisar ativos adicionais, como ambientes introduzidos por meio do M&Uma atividade, em 15 minutos em vez de 8 meses.
Ao deslocar para a esquerda, o MercuryGate é capaz de usar o Wiz para verificar novas ameaças e identificar problemas antes de implantar código na produção, ficando à frente de riscos potenciais.
Uma corrida para acelerar o crescimento com segurança
MercuryGate é uma plataforma global de transporte inteligente com mais de duas décadas de experiência ajudando os clientes com logística da primeira milha à última. Hoje, seus serviços incluem tudo, desde gerenciamento de sinistros e conformidade até ferramentas de visibilidade oceânica. Para continuar inovando as ofertas em sua plataforma, a MercuryGate decidiu migrar sua infraestrutura local para a nuvem. Durante os estágios iniciais dessa jornada, a organização dependia de soluções de segurança legadas e equipes de segurança de terceiros, mas à medida que sua presença crescia, precisava trazer segurança interna para melhorar a visibilidade e a velocidade de correção.
Em sua fase de transição maior, a MercuryGate também precisava de ferramentas de segurança em nuvem que a ajudassem a proteger efetivamente um ambiente de nuvem massivo. "Temos uma pegada de nuvem muito grande, especialmente para uma empresa do nosso tamanho", diz Chad Hicks, CISO da MercuryGate. "Isso vem com algumas dificuldades exclusivas quando pensamos em proteger milhares de instâncias do EC2, cargas de trabalho em contêineres e bancos de dados nativos."
A segurança é uma responsabilidade compartilhada, e ter as ferramentas certas em seu cinto de ferramentas garante que possamos democratizar a segurança para proteger nosso sistema. Nossas soluções legadas deixaram nossa equipe parada de segurança, e foi extremamente frustrante perder credibilidade com nossos líderes seniores porque não'Não ter uma ferramenta que nos ajudasse a identificar ou compartilhar claramente problemas de segurança, então sabíamos que precisávamos mudar nossas ferramentas e nossa mentalidade.
Para garantir o crescimento sustentável, a equipe queria construir um programa de segurança focado na colaboração interna. Como as fusões e aquisições são uma grande parte da estratégia de crescimento da empresa, a MercuryGate precisava avaliar a postura de segurança de novas aquisições enquanto educava e colaborava com novos membros da equipe sobre medidas de segurança. "Penso em segurança como uma corrida de F1. As equipes de corrida gastam muito tempo colocando grades de proteção e medidas de segurança para garantir que os pilotos possam ir para as curvas o mais rápido possível", disse Hicks. "Na segurança, pretendemos fazer a mesma coisa. Todas as nossas equipes se unem para garantir que o DevOps possa se mover o mais rápido possível, mantendo-se seguro."
Usando a visibilidade compartilhada para criar uma equipe de segurança em toda a organização
Para proteger sua infraestrutura de nuvem e mudar a mentalidade de sua equipe em torno da segurança na nuvem da proteção de uma solução local para a nuvem, a MercuryGate começou sua busca por uma nova solução de segurança em nuvem. Durante o processo de avaliação, a empresa priorizou a implantação rápida. Quando se tratou de Wiz, a equipe ficou feliz em descobrir que eles poderiam levantar a plataforma em minutos para começar a digitalizar imediatamente. "Levou 15 minutos para implantar o Wiz", disse Taryn Lloyd, engenheiro de nuvem da MercuryGate. "Quase não houve tempo entre a implementação do Wiz e a capacidade de representar com precisão nossas vulnerabilidades de segurança." A equipe de segurança trabalhou em estreita colaboração com o DevOps para criar uma propriedade mútua da segurança a partir do momento em que escolheram a nova solução.
Com a Wiz, a MercuryGate é capaz de conectar essas equipes para encontrar vulnerabilidades com mais eficiência e acelerar a rapidez com que podem agir sobre as descobertas. "Outras ferramentas de segurança cospem milhares de descobertas e você pode perder a noção do que é importante", disse Hicks. "O contexto que a Wiz fornece nos permite trabalhar em correções de alto impacto rapidamente." Ter um espaço compartilhado onde as equipes podem colaborar também significa que elas não precisam mais trabalhar usando planilhas para rastrear dados ou executar relatórios em tempo real.
O compartilhamento de dados também se estende aos outros líderes seniores da MercuryGate. "Temos que montar apresentações de métricas de segurança a cada trimestre e, à medida que trabalhamos com elas,'É realmente difícil entrar em plataforma após plataforma para agregar dados", acrescentou Hicks. "A Wiz agrega tudo em um único painel de vidro e facilita o compartilhamento."
Quando há uma nova vulnerabilidade, posso encontrar facilmente os sistemas afetados e CVEs listados diretamente no painel do Wiz. Eu posso ver onde cada sistema está dentro de nossa infraestrutura e transformar isso em um bilhete para nossos recursos offshore trabalharem.
A equipe ampliou esse espaço colaborativo para incluir usuários em toda a organização — 75% dos usuários da Wiz na MercuryGate não fazem parte da equipe de segurança. Ao abrir a Wiz para equipes adicionais, como operações e desenvolvimento, todos os envolvidos no processo de segurança podem gerar seus próprios relatórios, identificar problemas relacionados a seus próprios projetos e corrigi-los sem que a equipe de segurança precise atribuir uma tarefa. "A Wiz me permitiu aumentar nossa equipe de operações e ajudá-los a treiná-los sobre a agressividade com que abordamos o patching", disse Lloyd. "Também posso mostrar aos nossos líderes seniores que muitos dos nossos altos riscos estão em zero por causa do trabalho que nós'tá fazendo".
Obter visibilidade completa em um ambiente de nuvem complexo para reduzir o risco em 50% em 60 dias
Democratizar o acesso à informação na Wiz ajudou as equipes da MercuryGate a manter a empresa mais segura com menos recursos. Tarefas que antes exigiam dois engenheiros de nuvem dedicados agora podem ser facilmente compartilhadas com equipes offshore para resolver problemas, liberando as equipes internas para se concentrarem no desenvolvimento de novos recursos. Também os ajudou a procurar e remover recursos não utilizados para economizar dezenas de milhares de dólares depois de apenas alguns meses usando a plataforma. Coletivamente, isso resultou na redução de riscos em 50% dentro de 60 dias após a implementação do Wiz.
Do ponto de vista da conformidade, a organização conseguiu consolidar a gestão de ativos na Wiz para facilitar o monitoramento. "Ser capaz de ver nossa conformidade SOC2 diretamente no Wiz é muito mais preciso do que as planilhas com as quais lidamos no passado", disse Hicks. "Agora, podemos fazer uma pesquisa rápida, obter listas do nosso sistema que podem não estar protegidas pelo agente do MDR e trabalhar rapidamente para implantar. A precisão nos capacita a dizer aos auditores que'estamos fazendo tudo o que precisamos e reduzindo o risco."
Quando você're olhando para fusões e aquisições, se você'tá fazendo algo que'Não é nativo da nuvem e sem o Wiz, pode levar de seis a oito meses para que as coisas sejam implantadas, o que agora podemos fazer em 15 minutos.
Com seu único painel de vidro, novas aquisições também se tornaram fáceis de introduzir no ambiente de nuvem da MercuryGate. Sempre que uma empresa nativa da nuvem é adquirida, a MercuryGate pode implantar o Wiz para obter visibilidade de seu ambiente em 15 minutos. "Fazemos muita diligência no front-end, mas muitas organizações mantêm as informações e sua estratégia de segurança perto do peito", disse Hicks. "Uma das primeiras coisas que fazemos após a aquisição é implantar o Wiz e construir um roteiro para os próximos 30 a 60 dias de trabalho de segurança."
Antecipando-se a potenciais ameaças
A MercuryGate agora está usando a varredura IaC da Wiz para identificar ameaças antes que elas cheguem aos ambientes de produção. Isso, juntamente com a visibilidade entre empresas, está ajudando os desenvolvedores do MercuryGate a incorporar a segurança mais cedo na criação de novos recursos.
A empresa está comprometida em usar esses recursos para se manter à frente das ameaças futuras e em evolução. "Ao olharmos para o horizonte da segurança na nuvem, devemos seguir os agentes de ameaças. Neste momento, há'é um grande foco no compromisso do IAM", disse Hicks. "Nós'Estamos gastando tempo nisso e a Wiz será fundamental para encontrar o próximo movimento dos atores de ameaças para que possamos ter certeza de detectar quaisquer problemas ou configurações incorretas em nosso ambiente."
