Desafios
A Tide precisava melhorar sua capacidade de rastrear o que foi implantado em suas várias contas da AWS em contêineres e limpar recursos legados que não eram mais necessários.
À medida que a Tide continuava a amadurecer sua infraestrutura de nuvem, problemas estavam sendo descobertos na produção que poderiam ter sido corrigidos antes de chegarem ao ambiente de produção.
A Tide estava usando uma ferramenta CSPM que produziria alertas infinitos, mas poucos eram relevantes para como a Tide estava operando sua infraestrutura.
Soluções
A Tide ganhou uma visão mais ampla do que estava acontecendo em seus contêineres e sistemas legados que custavam dinheiro e eram vulneráveis a ameaças externas.
Desde a origem até a produção, o Tide automatizou guardrails para alertar os desenvolvedores sobre problemas no início de suas compilações e corrigi-los antes que eles afetassem os fluxos de trabalho de produção.
A Tide foi capaz de reduzir o número de falsos positivos e priorizar seus problemas mais críticos usando insights contextualizados acionáveis fornecidos pela Wiz.
Pequenas empresas, grandes empresas de segurança
A Tide é a principal empresa bancária de negócios digitais do Reino Unido, fornecendo serviços financeiros para MPMEs e uma das fintechs de crescimento mais rápido globalmente. Desde 2015, a empresa permitiu que mais de 500.000 pequenas e médias empresas obtivessem acesso instantâneo a ferramentas financeiras, incluindo folha de pagamento, escrituração automatizada, faturamento, financiamento de faturas e muito mais. Em maio de 2023, a empresa detinha mais de 9% da participação de mercado do Reino Unido. Em tal cenário, o Diretor de Segurança da Informação da Tide, Ben Dewar-Powell, e sua equipe reconhecem a enorme importância de uma plataforma rápida, estável e segura para todos os membros da Tide.
Para a equipe de segurança de produtos e plataformas, liderada por Ashleigh Vincent, fornecer consultoria para garantir que os desenvolvedores estejam integrando o design seguro desde a concepção do projeto até a implementação é fundamental. "Trata-se de apoiar e capacitar os desenvolvedores", diz Vincent. "A gente evita ser um bloqueio e a equipe de segurança do 'não'. Em vez disso, nos concentramos em fornecer feedback útil para que os desenvolvedores entendam o que está sendo levantado, o que será levantado e como corrigi-lo ou evitá-lo."
Mitigação de riscos em contêineres
A Tide está hospedada na AWS e opera uma nuvem moderna e conteinerizada que traz mais agilidade em torno de aplicativos e estrutura de custos e, ao mesmo tempo, apresenta desafios naturais. O ambiente consiste em diferentes contas da AWS devido a razões regulatórias, regionais e operacionais. É fundamental entender onde as vulnerabilidades vivem em um contêiner específico, direcionar respostas e corrigir problemas rapidamente. "Você precisa ter visibilidade e entender o que está sendo implantado em sua nuvem, em vez de aplicar antigos paradigmas de segurança baseados em servidor", diz Vincent. Antes da Wiz, a Tide usava a varredura de contêineres no pipeline envolvendo a construção de um contêiner, a varredura, o alerta sobre vulnerabilidades e, finalmente, a triagem. "Essa abordagem não diz necessariamente se aquele contêiner está funcionando em qualquer lugar", acrescenta Vincent.
No início, para obter uma visão completa da infraestrutura de nuvem da Tide, os sistemas tiveram que ser revisados manualmente antes de tentar uma série de diferentes ferramentas comerciais e de código aberto. Mas eles apenas geraram muito ruído e descobertas que exigiram um exame cuidadoso para revelar o que era crítico para a maré. "As ferramentas estariam alertando sobre algo que é construído pelo design, e não um problema", lembra Vincent. Isso levou a um fardo inaceitável para a equipe de segurança da Tide.
É tudo sobre descobrir como personalizar o que você realmente se importa. Se você é responsável por uma equipe de segurança enxuta em uma empresa com muitos engenheiros, construir isso é fundamental.
Capacitando desenvolvedores tornando-se um consultor confiável
Vincent incute uma mentalidade de segurança em primeiro lugar sem dizer aos engenheiros o que eles podem fazer melhor. "O Santo Graal é automatizar o máximo possível do trabalho manual. Queremos fornecer um caminho pavimentado para o sucesso e dar aos engenheiros a liberdade de inovar."
Os desenvolvedores precisavam de avisos anteriores de que seu código, se implantado, poderia apresentar preocupações. E fazer com que eles se envolvessem regularmente com uma ferramenta de segurança na nuvem era exigente. Estava fora do seu fluxo de trabalho diário e criava mais tarefas. O Wiz pode ser integrado com sistemas de bilhetagem e um engenheiro pode detectar um problema, levantar um ticket e notificar o proprietário do produto sobre as alterações. "Nosso objetivo é mudar para um modelo em que, se houver algo errado, isso nos avise cedo e possamos impulsionar a mudança", comenta Vincent.
Wiz tira o incômodo e pensa nisso. Você o conecta às suas contas e pode ver as 10 principais coisas na nuvem com as quais se preocupar.
Uma solução personalizada e automatizada
A Tide viu valor na consolidação de várias ferramentas em uma única solução para obter visibilidade total em seus ambientes conteinerizados. Isso permite que a empresa economize tempo e evite gerenciar vários sistemas para resolver problemas. Com uma visão abrangente de seu ambiente de nuvem, a segurança e os desenvolvedores agora podem obter uma melhor compreensão do que precisava de foco.
A Tide criou grades de proteção de segurança para os engenheiros trabalharem com a Wiz e, com a integração de tickets, os problemas poderiam ser resolvidos com menos atrito. "Com a capacidade de usar uma única ferramenta, eu poderia construir a mesma automação a partir do back-end; caso contrário, eu teria que construir dois conjuntos diferentes de automação que alertam um pouco diferente", diz Vincent. "Teria sido o dobro de trabalho para minha equipe com uma ferramenta diferente."
A Wiz é muito mais do que um provedor de CSPM. Ele verifica um monte de outras caixas. Varredura de vulnerabilidades nas imagens de disco, varredura de contêiner e varredura de perímetro.
Antecipando-se aos problemas
Com o Wiz, o Tide pode identificar e remover o risco antes que ele se torne um obstáculo. Priorizar apenas as vulnerabilidades e configurações incorretas mais críticas também significou silenciar falsos positivos - as equipes agora podem se concentrar em trabalhos mais importantes. "Só vemos aqueles com os quais realmente nos preocupamos e estamos rodando em nosso ambiente de produção. E com o aviso prévio - defeitos nunca entram em produção. ", diz Vicente.
Tempo reduzido para descoberta
A equipe de segurança da Tide se beneficia da capacidade da Wiz de verificar se há exposições antes que elas se tornem problemas maiores. Vincent foi capaz de alertar as equipes internas sobre o impacto potencial de uma vulnerabilidade recente do OpenSSL antes que os detalhes técnicos fossem anunciados. "Eu pude ver que haveria uma vulnerabilidade nesta versão do OpenSSL e procurar onde ele estava sendo executado em nossa infraestrutura", diz Vincent. "Conseguimos avisar todas as equipes para que elas conseguissem se planejar com antecedência."
A Maré alertou apenas as equipes impactadas caso algo estivesse presente em seus contêineres. "Não só pudemos ver os contêineres construídos em nossos dutos que continham a vulnerabilidade, como pudemos ver exatamente quais seriam impactados nos próximos dias. Não é hora de remediar que a Wiz salva você, é a hora de descobrir que é super valioso."
A Tide está usando o Wiz Dynamic Scanner para capturar automaticamente uma captura de tela e informações básicas para cada novo recurso público e publicá-las em um canal de comunicação interno. Isso permite que os engenheiros vejam facilmente cada parte do perímetro voltado para a internet da Tide e comuniquem as mudanças facilmente.
Apresentar detalhes técnicos com executivos e tomadores de decisão onde as melhores práticas não estão sendo seguidas pode ser difícil. Mas a simplicidade da interface do Wiz ajuda. "É aí que os gráficos bonitos da Wiz são úteis", diz Vincent. "Sem entrar em muitos detalhes, posso mostrar um gráfico indo na direção certa, e faz sentido."
Incentivo à inovação
A Tide está usando o Wiz para permitir que engenheiros que estão experimentando novas tecnologias descubram possíveis erros de configuração de segurança na fase de testes. "Isso os ajuda a pensar em como vão construir", diz Vincent. "O trabalho acontece na conta de testes, que a Wiz pode ver e apontar para quaisquer preocupações presentes no interior."
Além disso, a equipe quer se apoiar mais na funcionalidade de projeto da Wiz e na capacidade de dividir vários projetos com base no domínio. Os desenvolvedores podem marcar seus próprios contêineres e infraestrutura da AWS e obter uma visão focada apenas de seu domínio. "Esse é o próximo passo à medida que amadurecemos com a Wiz", diz Vincent. "Isso incentivará os desenvolvedores a usar a interface, porque eles só verão o que precisam abordar."
Quer saber como seu programa de segurança na nuvem pode alcançar os mesmos resultados que o Tide? Confira em detalhes as soluções do Wiz em segurança na nuvem para serviços financeiros.
