Desafios
O rápido crescimento significou que a infraestrutura da Wolt se expandiu de alguns servidores para várias centenas em um curto período, criando lacunas na visibilidade.
À medida que a Wolt adicionava mais desenvolvedores e serviços em nuvem, a segurança precisava gerenciar o risco para sua infraestrutura entre as equipes, sem se tornar um obstáculo para a realização do trabalho.
A Wolt precisava ter visibilidade de todo o seu ambiente de nuvem e uma melhor compreensão das complexidades das interações entre serviços.
Soluções
Com maior visibilidade de seu ambiente de nuvem em crescimento, a Wolt pode detectar problemas antes que eles se tornem maiores.
A Wolt automatizou as notificações de segurança e integrou o Wiz ao Slack para operacionalizar os alertas, de modo que as equipes pudessem compartilhar dados com mais facilidade e reagir às ameaças com maior rapidez.
A Wolt conseguiu entender como os diferentes serviços da sua nuvem AWS interagiam para poder corrigir problemas em um sistema sem afetar outro já conectado.
Tudo o que você possa imaginar, em suas mãos
A Wolt tem a missão de tornar as cidades melhores lugares para se viver, fornecendo às pessoas entregas rápidas e confiáveis de (quase) tudo o que quiserem, além de proporcionar vendas adicionais para comerciantes e restaurantes locais, com ganhos flexíveis para entregadores locais.
A plataforma online da Wolt conecta pessoas que desejam pedir refeições ou outros produtos com pessoas interessadas em vendê-los e entregá-los. Para isso, a Wolt desenvolve uma ampla gama de tecnologias, desde logística local até software de varejo e soluções financeiras, além de operar seus próprios supermercados sob a marca Wolt Market. Os produtos da Wolt incluem Wolt+ (serviço de assinatura para clientes), Wolt at Work (benefícios de refeição e entregas no escritório para empresas), Wolt Drive (última milha de entrega com rapidez) e Wolt Self-Delivery (serviço para parceiros comerciais com sua própria equipe de entrega). A missão da Wolt é tornar as cidades melhores, capacitando e crescendo as comunidades locais. A Wolt foi fundada em 2014 em Helsinque, na Finlândia, e uniu forças com a DoorDash em 2022. A DoorDash opera hoje em 27 países, 23 dos quais com o produto e marca Wolt.
Com uma rede tão grande e em crescimento, os desafios de segurança são infinitos.
A equipe de segurança se considera uma facilitadora de negócios, promovendo relacionamentos colaborativos com todas as equipes em toda a empresa. "Nós somos o Departamento do Sim. Queremos permitir que nossos funcionários façam o que fazem de melhor. Não dizemos não, perguntamos como", diz Tomi Tuominen, vice-presidente de segurança da Wolt.
A empresa nasceu na AWS e atualmente está executando seus próprios clusters Kubernetes auto-hospedados. "Começou simples", diz Tuomas Vähänen, membro da equipe de segurança da Wolt. "Tínhamos alguns bancos de dados e agora temos 200. Gerenciá-los é um trabalho em tempo integral."
Gerenciando o impacto do crescimento na infraestrutura e nas pessoas
À medida que a Wolt adicionou mais desenvolvedores à equipe e criou novos produtos e serviços, os desafios para gerenciar e proteger sua crescente pegada na nuvem se tornaram claros. A AWS oferecia centenas de serviços, mas as interações entre esses serviços aumentavam a complexidade de protegê-los.
"É muito difícil garantir algo que está em constante mudança. Você pode alterar uma configuração para tornar algo mais seguro e, em seguida, perceber que é usado por outro serviço da Amazon, que irá expô-lo em outro lugar", diz Adi Shammout, membro da equipe de segurança da Wolt. "A complexidade estava aumentando rapidamente à medida que nossa pegada na nuvem crescia e precisávamos fazer algo para assumir o controle."
A remuneração de uma combinação de funcionários novos e fixos também apresentou desafios únicos. As pessoas trazem processos diferentes com elas, então, a Wolt precisava ver como as equipes estavam trabalhando, não apenas com o que estavam trabalhando. Como a segurança poderia padronizar os processos sem ser uma barreira para a realização do trabalho? Tuominen ressalta que ao se integrar 100 pessoas por semana à empresa, é necessário prestar atenção em todos os processos, além de tê-los muito bem documentados.
O rápido crescimento dos serviços implica na criação de mais recursos de nuvem. Ficar por dentro de tudo isso pode ser demorado, estressante e dispendioso. A visibilidade torna-se o maior problema.
Na escala de operações da Wolt, procurar por achados ou vulnerabilidades individuais torna-se impraticável. Para identificar problemas mais rapidamente no desenvolvimento, a Wolt assumiu uma atitude mais eficiente e começou a escanear o código e infraestrutura mais precocemente no processo. Dessa forma, a Wolt conseguiu evitar ter de alocar mais recursos para encontrar e corrigir um problema mais tarde no processo. A equipe da Wolt precisava encontrar uma solução que os ajudasse a evitar quaisquer problemas de maneira fluida.
"Sempre adotamos uma abordagem shift-left, sempre tentando eliminar classes inteiras de vulnerabilidades ou grupos de problemas de uma só vez", diz Tuominen. "Não podíamos escolher uma ferramenta que não fornecesse valor e maior eficiência de tempo no uso diário."
Ver para crer.
O Wiz foi implantado pela primeira vez em 2020 e foi fundamental para ajudar a equipe de segurança a ficar à frente do rápido crescimento da empresa. A Wolt imediatamente captou o valor da varredura sem agente do Wiz, com sua implantação simples, cobertura abrangente e baixa necessidade de gerenciamento. Além disso, Vähänen ressalta que estar no Kubernetes facilitou a implantação sem agente para a conta AWS da Wolt.
A Wolt identifica e corrige configurações incorretas em seu tempo de compilação e de execução, impondo suas próprias políticas cuidadosamente personalizadas projetadas com o gerenciamento de conformidade integrado usando o Wiz. Todas as equipes de infraestrutura da Wolt acessam o Wiz e são responsáveis por corrigir problemas de sua alçada, liberando a equipe de segurança para se concentrar em projetos de maior valor.
A equipe de segurança monitora os crescentes recursos da organização no ambiente de nuvem usando o painel de fácil leitura do Wiz. "A paz de espírito que se sente ao abrir o painel do Wiz e constatar que está tudo em ordem tem um grande impacto emocional", diz Shammout.
Além disso, o Wiz Security Graph ajuda as equipes de segurança da Wolt a economizar ainda mais tempo, priorizando os problemas mais importantes com o contexto para avaliar toda a superfície de ataque. "Isso nos ajuda a ter uma visão mais abrangente", diz Vähänen. Algumas equipes estão até usando o Wiz Security Graph para fins operacionais e não apenas de segurança, aproveitando os dados gerados para rastrear a conectividade em diferentes nós.
Poder oferecer essa visibilidade internamente é fundamental. Não se trata apenas da equipe de segurança. O Wiz também facilita a colaboração entre todas as equipes.
O melhor dos dois mundos
A capacidade de ver quais equipes estão trabalhando em toda a organização proporciona à Wolt a confiança para estimular a continuidade dos negócios. Assim, é possível notificar automaticamente a equipe relevante quando um problema é detectado, evitando fazer phase-gate de processos que podem interromper o fluxo de trabalho. Ao integrar o Wiz com o Slack, os membros mais relevantes da equipe são alertados imediatamente e podem consertar as coisas mais rapidamente. As equipes também podem ficar rapidamente informadas sobre quais são os problemas e como evitá-los no futuro.
"A coisa mais importante é ter visibilidade sobre toda a sua presença em nuvem", diz Tuominen. "Não queremos criar barreiras. Queremos que as equipes de produto possam fazer o que fazem de melhor e que possam implantar o que quiserem. No entanto, se não estiverem cumprindo nossos padrões de segurança, conseguimos ver isso e ajudá-las a trabalhar em um ambiente mais seguro."
Tudo em um dia de trabalho
O Wiz já provou que consegue ajudar a Wolt a enfrentar ameaças cibernéticas significativas. A equipe de segurança da Wolt soube de uma vulnerabilidade no software de acesso Log4j já às 8h da manhã em que a vulnerabilidade apareceu. Eles tinham centenas de microsserviços, cada um precisando de seu próprio firewall de aplicativo da Web, para poderem bloquear as cargas úteis do Log4j. Mas, às 11h, eles já haviam bloqueado todos os ativos mais críticos para as cargas úteis iniciais. E menos de 24 horas depois, eles conseguiram confirmar que nenhuma vulnerabilidade tinha passado. "Isso teria dado um enorme trabalho sem a visibilidade oferecida pelo Wiz", diz Vähänen. Em conclusão, o Wiz ajudou a Wolt a identificar o que precisava ser priorizado e bloqueou qualquer Log4j de se infiltrar no cluster de servidores.
O Wiz foi de grande utilidade com o Log4j. Isso nos permitiu avaliar nossa real superfície de ataque. Saber o que você tem lá fora é metade da batalha.
Estar atento a como a segurança gasta seu tempo.
Ao longo do crescimento nos últimos anos, o Wiz nos ajudou a manter a postura de segurança da plataforma de entrega. "É preciso ter visibilidade. Caso contrário, isso não funciona. O Wiz entende como os ataques funcionam e o conceito de gráficos e mapas de ataque", diz Tuominen. "É um passo de cada vez, passando por processos complexos e se adaptando para fazer coisas diferentes."
A Wolt sabe que precisa de visibilidade contínua para continuar a crescer mantendo a segurança de sua plataforma. Em sua jornada de crescimento, a empresa conta com o Wiz para manter sua higiene de segurança cibernética para prosseguir com confiança.
