Wiz
Clientes

O Monument Bank mantém seguro seu banco virtual baseado em aplicativo com o Wiz

Procurando obter mais informações sobre o que os desenvolvedores estavam criando, o Monument Bank recorreu ao Wiz para obter mais visibilidade em toda a sua infraestrutura AWS.

Monument Bank

Industry

Serviços financeiros

Region

Europa

Cloud Platforms

AWS
Pronto para começar?
Ver demonstração

Desafios 

  • Para manter sua postura de segurança sem uma equipe de segurança dedicada, o Monument Bank precisava de visibilidade imediata sobre o que os desenvolvedores estavam criando na nuvem.  

  • O Monument Bank precisava de um processo escalável e eficiente para que as equipes de desenvolvimento resolvessem os problemas rapidamente.  

  • O Monument Bank procurou identificar problemas repetidos na produção e fazer um movimento shift-left para corrigi-los mais precocemente. 

Soluções 

  • O Monument Bank tem uma visão única e em tempo real de todo o ambiente da AWS. 

  • As equipes de desenvolvedores podem entender e corrigir rapidamente o risco na nuvem usando os relatórios acionáveis e contextualizados do Wiz.  

  • O Monument Bank se mantém seguro ao projetar estratégias usando Wiz guardrails para evitar problemas recorrentes no processo de desenvolvimento. 

Unificando equipes internas para proteger sua nuvem

Banco Monumento oferece à sua clientela de profissionais de negócios, empreendedores e investidores imobiliários uma plataforma de banco digital construída sobre tecnologia em nuvem. A startup neo-bank oferece uma gama de produtos de poupança e empréstimo usando recursos avançados no aplicativo para as interações com os clientes. "Reunimos tecnologia modular de ponta em uma configuração única para redefinir serviços bancários premium para o grande público", diz Graham Law, chefe de operações em nuvem do Monument.  

O Monument também é um banco regulamentado. "Há expectativas regulatórias e dos clientes, além de ameaças genuínas", diz Law. "Como guardião da poupança de nossos clientes, precisamos nos preparar para possíveis ataques cibernéticos." 

Após dois anos nessa jornada, o Monument está confiante da segurança de sua infraestrutura em nuvem, apesar de não ter uma equipe de segurança dedicada. Como parte de sua estratégia, o Monument visa proteger por meio de design. "Nós fazemos isso desde o primeiro dia com nosso aplicativo, mas com a AWS, não havia nada que pudéssemos conectar para fazer isso acontecer", diz Law. 

Tudo começa com a visibilidade 

À medida que os desenvolvedores do banco desenvolvem o aplicativo na nuvem, a equipe de segurança quer garantir que tudo seja desenvolvido com as mais altas especificações de segurança. "Queríamos saber como poderíamos obter segurança quando esses mesmos desenvolvedores também eram as pessoas que criavam e configuravam as ferramentas de segurança nativas na AWS", diz Law.  

O Monument adotou uma arquitetura moderna de software nativo em nuvem que envolvia zero de infraestrutura local. Além disso, grande parte do ecossistema é orientado por SaaS. "Não é o caso de ter uma grande infraestrutura local tradicional que passou agora a rodar na nuvem", diz Law. "Há serviços muito mais modernos, microsserviços, uma camada de integração entre APIs. É um tipo diferente de desafio de segurança, e muitas das abordagens tradicionais não foram projetadas para esse tipo de ambiente." 

Fácil implantação, resultados rápidos  

O Monument tinha uma lacuna de conhecimento que precisava ser preenchida. "A segurança muda diariamente. Não tenho tempo nem conhecimento para fazer minhas próprias auditorias da AWS", diz Law. Inicialmente, a equipe tentou empresas de testes de penetração mais tradicionais para fazer avaliações, mas elas não forneceram um bom retorno sobre o investimento. O Monument chegou a considerar a contratação de alguém para a função de engenheiro de segurança da AWS, mas esse é um recurso muito caro.   

Após explorar outras opções, eles analisaram o Wiz. "Fiquei genuinamente impressionado com a facilidade de implementar o Wiz e com o quão imediato era o benefício, a ponto de dizer ao CTO que se não comprasse essa plataforma, eu me demitiria porque não consigo fazer meu trabalho sem isso." Diz Law: "Basicamente isso foi 20 minutos depois que começamos o POV." 

A força da POV do Wiz é que é muito fácil e rápido de configurar. Não era um processo de três meses, nós o configuramos e começamos a executá-lo em uma tarde.

Law ficou motivado com os benefícios rápidos da implementação. "Nas primeiras horas da implementação, o Wiz identificou lacunas de segurança e problemas dos quais não tínhamos conhecimento, mas conseguimos começar a trabalhar para resolver esses problemas imediatamente", diz Law. 

Priorização facilitada 

Law conta com o Wiz para revelar combinações tóxicas e listar riscos críticos para que sua equipe possa priorizar os problemas críticos que precisam ser corrigidos. "O sistema de pontuação de risco do Wiz cria um trabalho acionável", diz Law.  

Como uma startup, não podemos corrigir todos os problemas imediatamente, pois não temos essa capacidade disponível. O Wiz nos permite priorizar rapidamente as mudanças que precisam ser feitas.

O painel do Wiz proporcionou à equipe do Monument Bank uma visão completa de seu ambiente pela primeira vez. "Sempre esteve disponível na AWS, mas nunca conseguimos ver isso antes", diz Law. "Ao tentar alinhar a gestão e explicar o que o Wiz nos mostra, o gráfico de segurança, e especificamente a visualização dos problemas, foi uma grande ajuda para entender qual é o problema e seu escopo."  

O Monument está operacionalizando o Wiz, integrando-o com o Jira para gerar tíquetes automaticamente para que os desenvolvedores possam resolver os riscos críticos de forma rápida e fácil. Além disso, o Wiz fornece um contexto acionável para que as equipes possam identificar, priorizar e remediar esses problemas com base na maior ameaça ao ambiente. "Isso evita que tenhamos que gerar os tíquetes e libera a equipe para focar sua atenção nos problemas mais críticos que precisam ser priorizados." 

Além do movimento shift-left para corrigir problemas precocemente no processo de desenvolvimento e colocar guardrails para manter a consistência de longo prazo, o Monument também usou o Wiz para uma revisão de seu processo de gerenciamento de riscos. "O Wiz nos permitiu criar um processo de aplicação de patches que funcionou em todos os nossos contêineres, aplicativos, pacotes de sistema operacional, patches de AMI e em qualquer outro lugar que fosse necessário. Tratava-se de acertar o processo e identificar uma mudança estratégica, até mesmo na forma como fazemos nosso gerenciamento de contêineres para permitir uma aplicação de patches melhor e mais fácil."  

Uma abordagem diferente para a segurança 

Law e sua equipe acreditavam que estavam fazendo as coisas certas, mas não tinham como provar isso. O Wiz rapidamente forneceu a garantia de que precisavam. "Obviamente, encontramos algumas coisas que precisavam mudar. Então, passamos por um processo muito rápido de entender o que estava certo e o que estava errado, corrigindo o que estava errado", diz Law. "Agora podemos tentar amadurecer essa abordagem e incorporá-la como uma maneira sustentável e de longo prazo de integrar a segurança em nossos processos de desenvolvimento e no local."    

Law ressalta a importância do uso de uma ferramenta que permita que os desenvolvedores tenham uma participação significativa no diálogo sobre segurança. "O Wiz pode destacar achados nos quais eles não entendam necessariamente onde o risco está envolvido", diz Law. "O Wiz explica muito bem e de uma maneira fácil de entender por que classifica algo daquela maneira."   

Para Law, o maior benefício vem do diálogo sobre porque algo representa realmente um risco e do entendimento sobre quais são os riscos ao longo do tempo e o que precisa ser priorizado. "A visibilidade oferecida pelo gráfico de segurança do Wiz ajuda muito nisso. O foco em combinações tóxicas e as descrições que as acompanham são fáceis de entender por um público não relacionado à segurança, além de destacar porque essa combinação em especial é algo que você precisa abordar." 

A conformidade é outro desafio que está no roteiro futuro do Monument. "Estamos implementando uma abordagem amadurecida para determinar nosso risco no mundo real, não uma lista de verificação arbitrária", diz Law. "Estamos aproveitando o tempo para analisar os padrões de conformidade e o que já temos em vigor para começar a preparar as bases para deixar nosso ambiente em conformidade. A visibilidade prévia que temos é incrivelmente útil, pois tirará muito do trabalho manual desse processo." 

O Wiz nos permite olhar para a causa raiz de alguns de nossos problemas, e como podemos corrigi-los rapidamente e com relativa facilidade. Muito do que encontramos é evitável, desde que seja detectado precocemente.

Para o Monument, o Wiz está cumprindo o papel de engenheiro de segurança, capacitando a segurança e os desenvolvedores a trabalharem em conjunto para identificar mudanças fundamentais que precisam ser feitas. "É possível que ainda precisemos de um engenheiro de segurança um dia. Mas com o Wiz automatizando as tarefas mais manuais, eles podem trabalhar nos recursos mais avançados", diz Law. 

Quer saber como seu programa de segurança na nuvem pode alcançar os mesmos resultados que o Monument Bank? Confira em detalhes as soluções do Wiz em segurança na nuvem para serviços financeiros.

Leia mais casos de clientes

Tide

A Tide ajuda as pequenas empresas a fazer negócios com mais segurança com a Wiz

Read case study
Barracuda Networks

Barracuda Networks ganha visibilidade total das posturas de segurança com Wiz e AWS

Watch video
Marcar uma demonstração personalizada

Pronto para ver a Wiz em ação?

“A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem.”
David EstlickCISO
“A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem.”
Adão FletcherDiretor de Segurança
“Sabemos que se a Wiz identifica algo como crítico, na verdade é.”
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades
Ver demonstração