Desafio
O New American Funding tinha um ambiente multinuvem complexo e precisava de visibilidade total de seus recursos na nuvem para gerenciar potenciais riscos de segurança.
A solução legada do NAF produzia muitos alertas sem insights acionáveis para os proprietários de aplicativos responderem, levando a atrito entre desenvolvedores e segurança.
A equipe de segurança do NAF precisava manter a conformidade com as rigorosas regulamentações de serviços financeiros e, ao mesmo tempo, permitir que os negócios se movessem rapidamente.
Solução
Com uma visibilidade total em todo o ambiente multinuvem do New American Funding, o Wiz capacita o NAF a descobrir e abordar riscos de forma mais eficaz e melhorar sua postura de segurança na nuvem, aplicando políticas de privilégios mínimos.
O New American Funding fornece insights contextuais e priorizados de cada risco de segurança para os proprietários de aplicativos, capacitando-os a corrigir problemas com mais eficiência.
O NAF usa as estruturas de conformidade do Wiz para automatizar as avaliações de conformidade, relatar mais facilmente sobre a postura de conformidade em toda a organização e usar esses relatórios para orientar sua estratégia de conformidade.
O New American Funding navega em padrões complexos de segurança de serviços financeiros para apoiar os proprietários de imóveis
Como um dos maiores credores hipotecários diretos para propriedade privada do país, o New American Funding (NAF) se dedica a ajudar famílias e indivíduos a transformar seus sonhos de casa própria em realidade. O NAF consegue oferecer a seus clientes prazos de fechamento de empréstimos líderes do setor, contando com a tecnologia no centro de seus negócios. Hoje, os agentes de empréstimos do NAF têm acesso a um conjunto de aplicativos móveis, incluindo o software proprietário de gerenciamento de relacionamento com o cliente do NAF.
Para dar suporte a essa tecnologia no setor de serviços financeiros altamente regulamentado, o NAF tem uma equipe interdepartamental de desenvolvedores, especialistas em TI e segurança que mantém um ambiente multinuvem. O NAF continua a encontrar maneiras para que suas equipes de segurança e desenvolvimento trabalhem juntas para criar a melhor experiência possível para o cliente, mantendo a conformidade com as rigorosas regulamentações financeiras.
A falta de dados claros impede uma ação direcionada
Os altos padrões de segurança do NAF não são negociáveis, mas o CSPM existente da equipe acabava dificultando a compreensão das vulnerabilidades no ambiente de nuvem. O NAF buscava entre o ruído dos dados para tentar descobrir problemas, sendo que, às vezes, não era possível localizar a fonte. Uma vez identificada uma fonte de risco, a equipe ainda tinha que determinar quem era o proprietário do recurso e avaliar os centros de custo para a correção. Devido à crise econômica, o NAF também teve que se tornar mais diligente com suas despesas e precisou se mover mais rapidamente com menos ferramentas.
Usamos uma ferramenta no passado que criava tanto ruído que acabava não valendo a pena. Eu precisava de dados acionáveis para que a equipe pudesse responder. O Wiz tem uma interface muito mais fácil de ser entendido por desenvolvedores e permite uma correção mais rápida dos achados.
Esse processo complicado estava impedindo que as equipes de segurança colaborassem com seus parceiros desenvolvedores, o que custava um tempo valioso do NAF. Além de precisar de um sistema para encontrar e corrigir problemas, o NAF também queria estabelecer guardrails para as equipes de desenvolvimento, para dar continuidade a projetos de forma rápida e segura. "Os desenvolvedores querem lançar produtos, a TI quer ter certeza de que há'A governança está em vigor e a segurança quer auditar o processo e fornecer novas recomendações", disse Jeff Farinich, CISO da NAF. "A manutenção da nuvem requer responsabilidade conjunta e precisávamos encontrar uma maneira de trabalhar juntos em direção aos mesmos objetivos."
Redução de custos com melhoria da visibilidade e da colaboração
Para alinhar as equipes, o NAF recorreu ao Wiz. A equipe precisava de uma plataforma de segurança em nuvem que estivesse no mesmo nível da ferramenta CSPM existente e pudesse consolidar as outras ferramentas de segurança em um único sistema. "Implantar o Wiz foi simples. Adicionamos as descrições em nossos ambientes, deixamos que fossem executadas e tivemos visibilidade de todos os nossos ativos e riscos e exatamente quais ações precisavam ser tomadas", disse Farinich.
Com o Wiz, o NAF ganhou visibilidade sobre seu ambiente e configurações incorretas, ganhando também contexto, priorização e a interface de fácil leitura de que precisava. Essa nova visibilidade melhorou a colaboração, dando aos proprietários de aplicativos uma visão melhor dos riscos que as equipes de segurança já monitoram. "O Wiz melhorou definitivamente a relação entre as equipes de segurança e de desenvolvimento. A equipe de desenvolvimento agora vê a segurança como uma parceira, em vez de uma adversária. Eles perceberam que ambas estão trabalhando para os mesmos objetivos de ângulos diferentes", disse Farinich.
O Wiz nos deu uma visibilidade muito melhor do nosso ambiente de nuvem. Do CIEM à vulnerabilidade e ao patch para o Log4j, o Wiz nos dá um nível de confiança muito maior em nossa nuvem.
Outro resultado dessa melhor visibilidade em toda a organização foi que o NAF conseguiu identificar usuários com privilégios em excesso e usuários inativos em seu sistema. Os recursos CIEM do Wiz ajudaram a equipe de segurança do NAF a impor o acesso por privilégios mínimos para reduzir o número de usuários excessivamente privilegiados em seu ambiente de nuvem. Essa redução significa que o NAF limitou sua exposição por meio das contas com excessos, fortalecendo sua postura de segurança. Com uma visão geral abrangente de seus direitos de nuvem e permissões efetivas, a equipe do NAF pode detectar e priorizar riscos de identidade, permitindo que as equipes tomem medidas rapidamente.
Criando uma equipe de segurança mais rápida e colaborativa
A adoção do Wiz facilitou a colaboração entre equipes no NAF e essa colaboração está impulsionando diretamente uma plataforma melhor para os negócios em crescimento do NAF e seus clientes. A correção em escala significa que as equipes podem acompanhar as demandas do negócio para ajudar a gerar novas oportunidades de receita. Isso inclui o gerenciamento eficiente de dois ambientes de nuvem. "Usar o Wiz significa que podemos agir mais rapidamente e fazer mais correções", disse Farinich. "É fácil de usar, resultando em uma organização mais segura e mais rápida com menos recursos." O NAF usa o Wiz para obter insights nas duas nuvens, o que possibilita agir rapidamente, sem importar onde a vulnerabilidade se originou.
Mantendo os padrões de conformidade de forma eficiente
À medida que cresce, o NAF também se torna capaz de escalar mais facilmente os riscos para o nível executivo, gerando transparência em toda a organização. Essa transparência contribuiu para uma taxa de adoção crescente entre as equipes de aplicativos e a liderança, que agora podem analisar e tomar medidas para resolver, e até se antecipar, os problemas relacionados à conformidade.
A empresa usa as avaliações automatizadas e as estruturas integradas de conformidade do Wiz para pontuar e entender mais rapidamente a conformidade dentro de uma ampla gama de padrões regulatórios, incluindo NIST e CSF. Eles também estão usando essa base para incorporar outras estruturas de segurança em seu processo de conformidade para garantir que atendam aos requisitos financeiros de organizações como a Comissão Federal de Comércio (Federal Trade Comission) e o Departamento de Serviços Financeiros de Nova York (New York Department of Financial Services). Com acesso imediato a pontuações de postura e relatórios facilmente compartilháveis, a equipe de segurança do NAF pode comunicar riscos e controles mapeados para líderes não técnicos em toda a organização.
O Wiz não apenas nos permitiu melhorar nossa postura de segurança, mas também nos deu as ferramentas e a visibilidade que precisamos para orientar os membros de nossa equipe sobre os controles de conformidade que temos que cumprir.
Esses novos insights fáceis de entender permitem que a equipe de segurança demonstre claramente as necessidades corporativas para iniciativas de segurança, obtenha a adesão dos executivos em novos projetos e desenvolva uma plataforma mais segura, mais compatível e mais poderosa para compradores de imóveis nos Estados Unidos.
A próxima etapa de segurança para o New American Funding
O NAF continua a encontrar maneiras de se tornar mais eficiente com seu tempo e despesas. Seu próximo grande marco é migrar toda a sua computação para a nuvem. Enquanto faz essa migração, o NAF também visa reduzir ainda mais os custos de segurança usando o Wiz para monitorar seus dados confidenciais na nuvem com a DSPM. Com o Wiz, o NAF está confiante que pode crescer como deseja. "A plataforma é fácil e de implantação imediata, tornando-nos mais seguros e mais rápidos com menos recursos", disse Farinich. "O Wiz é uma necessidade."
Quer saber como seu programa de segurança na nuvem pode alcançar os mesmos resultados que o New American Funding? Confira em detalhes as soluções do Wiz em segurança na nuvem para serviços financeiros.
