Monese obtém visibilidade total de seu ambiente AWS com Wiz

A Monese, uma empresa de serviços financeiros baseada em aplicativos móveis disponível para clientes em 31 países do Reino Unido e da Europa, melhora a visibilidade de seu ambiente AWS, prioriza tarefas de segurança e se aproxima da conformidade com o PCI.

Monese

Indústria

Serviços financeiros

Região

Europa

Plataformas em nuvem

AWS
Pronto para começar?
Ver demonstração

Desafio

  • Operando em um setor altamente regulamentado, a Monese precisava de visibilidade total de seu ambiente AWS.

  • A Monese precisava de uma solução que pudesse ajudar a equipe de segurança a priorizar suas tarefas de segurança e obter visibilidade da configuração incorreta em relação às melhores práticas do setor. 

  • A Monese estava procurando uma ferramenta sem agente que pudesse fornecer informações abrangentes de postura de segurança para várias equipes dentro da organização, eliminando a necessidade de confiar apenas na equipe de segurança. 

Solução

  • A Monese obteve uma visão completa de seu ambiente AWS, permitindo que a equipe de segurança encontrasse vulnerabilidades, identificasse suas localizações exatas e as atribuísse aos proprietários de negócios responsáveis.

  • A pequena equipe de segurança da Monese conseguiu gerenciar suas tarefas de forma eficaz, identificando e rastreando vulnerabilidades com a ajuda da plataforma Wiz.

  • A Monese conseguiu criar uma cultura de segurança mais colaborativa, permitindo que um conjunto mais amplo de usuários (incluindo desenvolvedores e líderes de produtos) usasse a plataforma para entender e reduzir os riscos – e mitigá-los de forma proativa, protegendo a empresa de um possível tempo de inatividade.

Buscando visibilidade total com uma ferramenta para várias equipes

A Monese é uma empresa de serviços financeiros de varejo digital que fornece contas somente para dispositivos móveis em uma seleção de moedas, países em todo o Espaço Econômico Europeu. Como uma empresa nativa da nuvem, a Monese está comprometida com fortes medidas de segurança que venceram't dificultar as operações comerciais.  Aneel Sandhu, CISO da Monese, diz: "nossa estratégia de segurança é atualizada a cada ano. Existem quatro pilares. Um dos principais pilares é a capacidade de proteger em velocidade. Fora isso,'s coisas mais tradicionais, como garantir que haja's transparência para as pessoas em todos os níveis; Isso's de pessoas que podem ser desenvolvedores ou trabalhar como líderes de produto ou até mesmo do Conselho. E então ser capaz de garantir que nós'estão em conformidade com quaisquer regulamentos que se apliquem a nós ou aos nossos clientes." 
 
A Monese não tinha visibilidade completa de seu ambiente AWS, o que era particularmente preocupante devido à sua pequena equipe de segurança e à natureza acelerada da organização. Com as ferramentas anteriores, as equipes muitas vezes não tinham contexto em torno das vulnerabilidades e não conseguiam priorizar suas necessidades de segurança de forma eficaz. Sandhu reflete: "como a empresa tem um ambiente de nuvem complexo, nosso principal problema sempre foi a visibilidade".  Precisando delegar o trabalho de segurança, a Monese buscou uma ferramenta que pudesse fornecer as informações de risco necessárias aos membros de várias equipes.  
 
Além disso, a Monese opera em um setor e região altamente regulamentados, tornando a conformidade um aspecto crucial de suas operações, particularmente a conformidade e os regulamentos 27001 (Segurança da Informação) em toda a Europa. A Monese precisava de uma solução que os ajudasse a alcançar a conformidade regulatória e permitisse que fossem mais transparentes com os clientes e aprimorassem seus negócios. Sandhu observa que um pilar fundamental do programa de segurança da Monese é garantir que a empresa esteja em conformidade com todos os regulamentos relevantes que se aplicam a ela ou a seus clientes em todas as jurisdições.

Definição de metas para um melhor ajuste

Antes de implementar o Wiz, Sandhu dependia de scripts manuais para entender os componentes do ambiente da Monese, o que consumia muito tempo e não oferecia uma visão abrangente. A Monese também estava usando scanners de segurança tradicionais que não eram adequados para ambientes nativos da nuvem e precisava de uma maneira melhor de compartilhar a mitigação de riscos em sua pequena equipe de segurança.

Preciso de uma visão de como é nossa propriedade. Como CISO,'é quase impossível entender todos os componentes que compõem nosso ambiente. Não estávamos cegos para os problemas, mas tivemos que confiar muito em certos indivíduos para estar no topo das descobertas de segurança.

A Monese queria uma solução de segurança que aumentasse a visibilidade total e fortalecesse a preparação para a conformidade regulatória, ao mesmo tempo em que facilitasse a delegação de tarefas de segurança, reduzindo assim a dependência de sua pequena equipe de segurança. Seu objetivo era construir uma prática de segurança com amplos impactos positivos nos negócios.

A busca por uma plataforma abrangente de segurança na nuvem

Sandhu lembra que sua equipe de segurança inicialmente procurou um scanner de vulnerabilidade para atender às demandas de seus clientes bancários e requisitos regulatórios. Contudo: 

Quando saímos e analisamos quais ferramentas estavam disponíveis, estávamos procurando um scanner de vulnerabilidade e rapidamente percebemos que elas não eram adequadas para ambientes nativos da nuvem... chegamos à conclusão de que a AWS e outros CSPs geram muitos dados. Nós não't precisa de um scanner de vulnerabilidade; Precisávamos de uma solução de gerenciamento de vulnerabilidades de configuração.

Depois de detalhar seus requisitos tecnológicos e conduzir um processo de Solicitação de Proposta (RFP), eles consideraram algumas soluções. Sandhu lembra que eles escolheram o Wiz porque ele foi capaz de capturar quantidades substanciais de dados e fornecer à sua equipe uma visão muito concisa.

Aumentando a visibilidade e a priorização com o Wiz

A equipe de Sandhu conseguiu começar a usar o Wiz facilmente. Ele lembra: "Conseguimos colocar o Wiz em funcionamento muito rapidamente apenas por causa de sua conectividade nativa da nuvem". Durante o período de teste do Monese com o Wiz, a vulnerabilidade Log4j mostrou a eles o poder do Wiz's capacidades. Sandhu diz que eles "tiveram muita sorte que o log4j aconteceu durante o julgamento com Wiz. Não apenas estávamos conectados e funcionando, mas também nos deu uma compreensão instantânea de onde tínhamos vulnerabilidades relacionadas ao Log4j… tudo durante o período de avaliação."    

A Monese implementou o Wiz rapidamente. O processo foi simples, com a Wiz se conectando diretamente ao ambiente AWS da Monese e fornecendo imediatamente visibilidade de seus sistemas. Em seguida, eles se concentraram em identificar e mitigar possíveis vulnerabilidades antecipadamente e evitar possíveis tempos de inatividade. Sandhu observa: "Ao usar o Wiz em nossos pipelines de desenvolvimento, podemos pegar coisas, fazer revisões de código e entender bibliotecas de terceiros". Isso configura o Monese's para identificar e resolver problemas durante o desenvolvimento, em vez de no final do processo. Sandhu acrescenta: "Wiz não está apenas verificando o que's rodando na nuvem; também tem uma visão de tudo o que'vai acabar sendo empurrado para o nosso ambiente de produção." 

Compartilhando responsabilidades, mudando para a esquerda

Sandhu também reflete que, com o Wiz, é fácil fornecer aos líderes de produtos uma visão ao vivo das vulnerabilidades atribuídas a eles e da idade dessas vulnerabilidades. "Isso dá muito mais tração para priorizar as correções de segurança", diz ele. "Como o trabalho dos desenvolvedores é impulsionado por quaisquer requisitos que um líder de produto ou gerente de projeto lhes apresente, agora as vulnerabilidades podem ser atribuídas aos líderes de produto." Isso ajudou a Monese a delegar o trabalho de segurança a mais membros da equipe, aumentando a responsabilidade. 

Com o Wiz fornecendo a capacidade de atribuir vulnerabilidades aos proprietários de empresas e compartilhar o trabalho de mitigação de riscos, a Monese pode rastrear e priorizar correções de segurança com mais eficiência. 

Wiz nos permitiu identificar exatamente onde tínhamos problemas. Se tivéssemos tentado descobrir tudo o que foi afetado pelo log4J sem o Wiz, levaria pelo menos sete ou oito dias para identificar em todos os lugares que precisávamos consertar algo. Wiz nos permitiu identificar essas áreas imediatamente.

Aumentando a agilidade e acelerando as implantações

A Monese também viu o grande benefício de uma organização de desenvolvimento madura e mais eficaz. Suas equipes de desenvolvimento e segurança podem trabalhar juntas e mais rapidamente para resolver problemas de segurança; Isso melhora não apenas sua postura de segurança, mas também cria colaboração em toda a organização. Isso cria um desenvolvimento mais ágil e uma colaboração de segurança, acelera a implantação e permite que os desenvolvedores façam seu melhor trabalho. 

Às vezes'não se trata apenas de ser capaz de dizer: 'há'é um problema; vá resolver isso. O que é's nos permitiu fazer é ter uma compreensão muito clara do que é esse problema e como consertar as coisas. Portanto, o Wiz nos ajudou a desencadear muito trabalho enquanto amadurecia nosso desenvolvimento como um todo, apenas porque essa compreensão das questões fundamentais nos permite construir muito mais. Esse entendimento nos ajuda a progredir em nossa prática de segurança.

Atendendo aos requisitos de conformidade com facilidade

Wiz apoiou a análise de lacunas da Monese, e essa capacidade de avaliar e resolver lacunas de conformidade é um aspecto fundamental da estratégia de conformidade da Monese. A Wiz também ajudou a Monese a atender aos requisitos regulatórios e de clientes com mais eficiência e documentar seu status de conformidade com evidências automatizadas para compartilhar com vários parceiros.

A Wiz nos permitiu dar provas sólidas aos auditores reguladores, clientes e investidores, provando que realmente somos tão bons quanto dizemos que somos. Podemos ilustrar que atendemos aos requisitos de segurança.

Seguindo em frente, sempre aprendendo

Sobre sua posição como CISO e práticas de segurança em geral, Sandhu ressalta: "Aprendo algo novo todos os dias. Tenho que entender o que a empresa está fazendo e como ela toma medidas para aplicar a segurança. Eu tenho que entender como a tecnologia funciona para ter certeza de que's suficientemente protegido, então eu sempre tenho que estar aprendendo." 

Com a implementação bem-sucedida do Wiz, a Monese está planejando um futuro em que a segurança seja integrada e simplificada em todos os aspectos de suas operações comerciais. Visibilidade aprimorada, gerenciamento de vulnerabilidades e relatórios de conformidade continuarão a beneficiar a Monese à medida que evoluem. Eles agora podem mostrar com confiança a auditores, reguladores, clientes e investidores que atendem aos requisitos de segurança, o que é fundamental em qualquer setor altamente regulamentado.  E com práticas de segurança mais ágeis e compartilhadas e melhor colaboração entre as equipes de desenvolvimento e segurança, a Monese pode concentrar mais tempo e esforço na prestação de serviços bancários superiores a seus clientes.

Marcar uma demonstração personalizada

Pronto para ver a Wiz em ação?

“A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem.”
David EstlickCISO
“A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem.”
Adão FletcherDiretor de Segurança
“Sabemos que se a Wiz identifica algo como crítico, na verdade é.”
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades