Desafios
A Tide precisava melhorar sua capacidade de rastrear o que foi implantado em containers em suas várias contas AWS e remover os recursos legados que não eram mais necessários.
À medida que a Tide continuava a amadurecer sua infraestrutura em nuvem, descobriram-se problemas na produção que poderiam ter sido corrigidos antes de chegarem ao ambiente de produção.
A Tide estava usando uma ferramenta CSPM que produzia infinitos alertas, mas poucos eram relevantes para como a Tide administrava sua infraestrutura.
Soluções
A Tide ganhou uma visão mais ampla do que estava acontecendo em seus containers e sistemas legados que custavam dinheiro e eram vulneráveis a ameaças externas.
Desde a origem até a produção, a Tide automatizou os guardrails para alertar os desenvolvedores precocemente sobre problemas em suas compilações e corrigi-los antes que afetassem os fluxos de trabalho de produção.
A Tide conseguiu reduzir o número de falsos positivos e priorizar seus problemas mais críticos ao usar os insights contextualizados e acionáveis oferecidos pelo Wiz.
Pequenas empresas, alta segurança
A Tide ocupa a segunda posição em serviços bancários para negócios digitais no Reino Unido, fornecendo serviços financeiros para micro, pequenas e médias empresas (MPME), além de ser uma das fintechs de maior crescimento global. Desde 2015, a empresa permitiu que mais de 500.000 pequenas e médias empresas obtivessem acesso instantâneo a ferramentas financeiras, incluindo folha de pagamento, contabilidade automatizada, faturamento, financiamento de faturas e muito mais. Em maio de 2023, a empresa detinha mais de 9% de participação de mercado no Reino Unido. Nesse cenário, o diretor de segurança da informação da Tide, Ben Dewar-Powell, e sua equipe reconhecem a enorme importância de uma plataforma rápida, estável e segura para todos os membros da empresa.
Para a equipe de produtos e de segurança de plataformas, liderada por Ashleigh Vincent, é fundamental fornecer consultoria para garantir que os desenvolvedores integrem o design seguro desde a concepção do projeto até sua implementação. "Trata-se de apoiar e capacitar os desenvolvedores", diz Vincent. "Evitamos ser uma barreira ou a equipe de segurança que só diz 'não'. Em vez disso, estamos concentrados em dar feedback útil para que os desenvolvedores entendam o que foi detectado, o que será detectado e como corrigir ou evitar isso."
Mitigação de riscos em containers
A Tide está hospedada na AWS e opera uma nuvem moderna e conteinerizada que traz mais agilidade para aplicativos e estrutura de custos e, ao mesmo tempo, apresenta desafios naturais. O ambiente é composto por diferentes contas da AWS devido a razões regulatórias, regionais e operacionais. É fundamental entender onde estão as vulnerabilidades em um contêiner específico, direcionar respostas e corrigir os problemas rapidamente. "Você precisa ter visibilidade e entender o que está sendo implantado em sua nuvem, em vez de aplicar antigos paradigmas de segurança baseada em servidor", diz Vincent. Antes do Wiz, a Tide usava a varredura de containers no pipeline para a construção de um contêiner, fazer a varredura, alertar sobre as vulnerabilidades e, por fim, fazer a triagem. "Essa abordagem não informa necessariamente se aquele contêiner está em execução em algum lugar", acrescenta Vincent.
Inicialmente, para obter uma visão completa da infraestrutura em nuvem da Tide, os sistemas tinham que ser revisados manualmente antes de poder experimentar uma série de diferentes ferramentas comerciais e de código aberto. Mas elas apenas geravam muito ruído e achados que exigiam um exame cuidadoso para conseguirmos ver o que era crítico para a Tide. "As ferramentas alertavam sobre coisas que eram integradas por design e que não eram um problema", lembra Vincent. Isso trouxe uma sobrecarga inaceitável para a equipe de segurança da Tide.
Tudo gira em torno de conseguir personalizar o que realmente importa para você. Se você é responsável por uma equipe de segurança enxuta em uma empresa com muitos engenheiros, é fundamental desenvolver isso.
Capacitação dos desenvolvedores ao torná-los consultores confiáveis
Vincent promove uma mentalidade de segurança em primeiro lugar, sem dizer aos engenheiros o que eles podem fazer melhor. "O principal objetivo é automatizar o trabalho manual o máximo possível. Queremos fornecer um caminho já pronto para o sucesso e dar a liberdade aos engenheiros para inovar."
Os desenvolvedores precisavam de avisos antecipados de que seu código, se implantado, poderia introduzir problemas. Também era necessário fazer com que eles se envolvessem regularmente com uma ferramenta de segurança na nuvem. Isso não fazia parte do fluxo de trabalho diário deles e gerava mais tarefas. O Wiz pode ser integrado com sistemas de tíquetes e um engenheiro pode detectar um problema, criar um tíquete e notificar o proprietário do produto sobre as alterações. "Nosso objetivo é mudar para um modelo em que, se houver algo errado, sejamos avisados antecipadamente para impulsionarmos a mudança", comenta Vincent.
Wiz elimina o transtorno e a análise. Você o conecta às suas contas e pode ver as 10 principais coisas com as quais deve se preocupar na nuvem.
Uma solução personalizada e automatizada
A Tide viu valor na consolidação de várias ferramentas em uma única solução para obter visibilidade total em seus ambientes conteinerizados. Isso permite que a empresa economize tempo e evite gerenciar vários sistemas para resolver problemas. Com uma visão abrangente de seu ambiente em nuvem, a segurança e os desenvolvedores agora podem obter uma melhor compreensão sobre o que precisam focar.
A Tide criou guardrails de segurança para os engenheiros trabalharem com o Wiz e, com a integração dos tíquetes, os problemas podiam ser resolvidos com menos atrito. "Com a opção de usar uma única ferramenta, eu poderia desenvolver a mesma automação fora do back-end; caso contrário, eu teria que desenvolver dois conjuntos diferentes de automação que produzem alertas de forma ligeiramente diferente", diz Vincent. "Minha equipe teria o dobro do trabalho com uma ferramenta diferente."
O Wiz é muito mais do que um provedor de CSPM. Ele satisfaz muitos outros requisitos. Varredura de vulnerabilidades nas imagens de disco, varredura de contêiner e varredura de perímetro.
Antecipando-se aos problemas
Com o Wiz, a Tide pode identificar e remover o risco antes que se torne um obstáculo. Priorizar apenas as vulnerabilidades e configurações incorretas mais críticas também significava silenciar falsos positivos. Agora, as equipes podem se concentrar em trabalhos mais importantes. "Só vemos os riscos com os quais realmente nos preocupamos e que estão em execução em nosso ambiente de produção. E com o alerta antecipado, os defeitos nunca entram em produção. ", diz Vicente.
Tempo reduzido para descoberta
A equipe de segurança da Tide se beneficia da capacidade do Wiz de verificar se há exposições antes que se tornem problemas maiores. O Vincent conseguiu alertar as equipes internas sobre o potencial impacto de uma vulnerabilidade recente no OpenSSL antes que os detalhes técnicos fossem anunciados. "Verifiquei que havia uma vulnerabilidade nesta versão do OpenSSL e procurei onde estava sendo executada em nossa infraestrutura", diz Vincent. "Conseguimos avisar todas as equipes para poderem se planejar com antecedência."
A Tide alertou apenas as equipes impactadas, caso algo estivesse presente em seus containers. "Não só pudemos ver os containers construídos em nosso pipeline que continham a vulnerabilidade, como também pudemos ver exatamente quais seriam impactados nos próximos dias. Não é o tempo de correção que fica reduzido com o Wiz: é a redução no tempo para a descoberta que é supervaliosa."
A Tide usa o Wiz Dynamic Scanner para fazer uma captura automática de tela e das informações básicas para cada novo recurso público para, então, publicá-las em um canal de comunicação interno. Isso permite que os engenheiros vejam facilmente cada parte do perímetro voltado para a internet da Tide, facilitando a comunicação das mudanças.
Pode ser difícil apresentar detalhes técnicos aos executivos e tomadores de decisão quando as práticas recomendadas não estão sendo seguidas. No entanto, a simplicidade da interface do Wiz ajuda. "É justamente aí que os gráficos bonitos do Wiz são úteis", diz Vincent. "Sem precisar entrar em muitos detalhes, posso mostrar um gráfico apontando a direção certa e fazersentido."
Incentivo à inovação
A Tide está usando o Wiz para permitir aos engenheiros que estão testando novas tecnologias descobrir possíveis erros de configuração de segurança na fase de testes. "Isso os ajuda a pensar em como vão desenvolver", diz Vincent. "O trabalho acontece na conta de testes, que o Wiz consegue analisar e apontar quaisquer preocupações presentes em seu interior."
Além disso, a equipe deseja se apoiar mais na funcionalidade de projeto do Wiz e na capacidade de compartilhar vários projetos com base no domínio. Os desenvolvedores podem marcar seus próprios containers e infraestrutura da AWS para obter uma visão focada apenas do seu domínio. "Esse é o próximo passo à medida que amadurecemos com o Wiz", diz Vincent. "Isso incentivará os desenvolvedores a usar a interface, porque verão apenas o que precisam abordar."
Quer saber como seu programa de segurança na nuvem pode alcançar os mesmos resultados que a Tide? Confira em detalhes as soluções do Wiz em segurança na nuvem para serviços financeiros.
