Desafio
O vasto conjunto de produtos da Zendesk requer uma grande pegada de nuvem para manter, e a empresa lutou para manter a visibilidade em todo o seu ambiente multinuvem.
As equipes de desenvolvimento tinham liberdade para criar e escalar rapidamente, mas não tinham informações sobre a importância ou a localização das vulnerabilidades quando eram sinalizadas pela segurança.
Ferramentas de segurança desconectadas exigiam especialistas dedicados para manter e monitorar, o que tirava tempo e recursos de projetos de maior valor.
Solução
A Zendesk obteve visibilidade completa de seu ambiente de nuvem e segurança centralizada em suas equipes de desenvolvimento e segurança na nuvem
Ao aproveitar as recomendações e insights priorizados no Wiz, as equipes de desenvolvimento da Zendesk agora podem possuir seus ativos específicos do ponto de vista da segurança e concentrar sua atenção em vulnerabilidades críticas.
A Zendesk protege proativamente suas imagens de contêiner e configurações de IaC no desenvolvimento, para que os engenheiros possam dedicar tempo à criação de novos produtos e recursos.
Consolidated visibility
across a complex environment into a single pane of glass
Eliminated 96%
of critical vulnerabilities
Improved collaboration
across security and development teams with 1,200+ Wiz users
Escalando para um líder multinacional do setor
Os co-fundadores da Zendesk —Morten Primdahl, Alexander Aghassipour e Mikkel Svane—construíram a primeira versão da solução digital de suporte e atendimento ao cliente em um pequeno apartamento em Copenhague em 2007. Nos primeiros meses, tinha quase 1.000 clientes de teste, em 2009 foi financiada e hoje é uma organização multibilionária com mais de 6.000 funcionários em todo o mundo. Seu conjunto de produtos inclui uma ampla gama de soluções de serviços e vendas, cada uma com suas próprias ferramentas dedicadas.
Para dar suporte a esse ecossistema e dar a seus clientes o poder de fornecer ótimas experiências ao cliente, a empresa precisa de um ambiente de nuvem em crescimento contínuo. Isso inclui vários provedores de nuvem importantes, armazenamento em contêineres, clusters Kubernetes e mais de 10 mil máquinas virtuais (VMs), todos alimentando 800+ serviços em toda a plataforma. Com um ambiente tão complexo, a empresa lutava para manter a visibilidade de todos os cantos e recantos, e suas ferramentas de segurança exigiam o suporte de especialistas que não podiam gastar seu tempo projetando novas soluções. A Zendesk sabia que precisava simplificar e automatizar para dimensionar a segurança junto com sua infraestrutura de nuvem.
Além desses desafios técnicos, a Zendesk queria incentivar mais colaboração entre as equipes de engenharia e desenvolvimento. Com 30 engenheiros de segurança de produtos e quase 2.000 engenheiros de software, era difícil para sua pequena equipe de segurança gerenciar tudo sozinha. "Em um ambiente tão grande, ninguém pode saber tudo", diz Andrew Wagner, diretor de engenharia da Zendesk. "Para resolver os problemas de forma eficaz, a segurança e os desenvolvedores precisam colaborar. Minha equipe precisava ser capaz de levar um problema à segurança e pedir sua opinião, não apenas esperar por instruções." Nessa mudança para uma estratégia de segurança mais proativa, a visão da Zendesk foi posta à prova quando precisou descobrir rapidamente vulnerabilidades relacionadas ao Log4Shell.
Costumávamos ser uma organização de segurança muito reativa, mas nosso objetivo hoje é criar produtos seguros por design para manter e melhorar gradualmente esses padrões. O Wiz nos dá uma visão de onde estão os riscos, para que possamos corrigir configurações incorretas e reduzir a chance de que eles aconteçam novamente
A empresa estava avaliando novas soluções de segurança quando soube do Log4Shell, mas sem uma maneira de ver facilmente todo o seu ambiente de nuvem, era impossível encontrar exposições potenciais com eficiência. "Com Wiz, pudemos ver tudo em nosso ambiente e onde estávamos executando o Log4Shell", diz Koen Hendrix, diretor de segurança de produtos da Zendesk. "Nossa confiança em nosso inventário e cobertura de nuvem passou de talvez 60% para 100%. Podíamos ver todas as nossas lacunas e pudemos começar a fechá-las da noite para o dia. Sabíamos como mover a agulha em nossa postura de segurança, e isso fez de Wiz uma escolha fácil."
Descobrindo pontos cegos para expandir a cobertura de segurança
Depois que a Zendesk decidiu implementar o Wiz, ela conseguiu implantar de forma rápida e fácil porque sua equipe de segurança não precisava instalar agentes em sua nuvem. "A Wiz nos deu a capacidade de implementar e revisar nossa pegada rapidamente", diz Wagner. "Pudemos descobrir pontos cegos em nossos dados de VM e em todos os nossos ambientes sem ter que montar uma solução de fontes diferentes."
Com visibilidade e ferramentas consolidadas em um único painel, a Zendesk pode estar totalmente ciente dos riscos e adotar uma abordagem mais proativa para a segurança na nuvem. "Temos mais consciência da tecnologia que nossos engenheiros estão usando, podemos fornecer atualizações constantes de status de conformidade e temos tudo em um único destino", diz Hendrix. "Por causa disso, podemos encontrar e lidar com riscos mais rápido do que nunca e gastar mais tempo em projetos de maior valor." Desde a implementação do Wiz, a empresa reduziu as vulnerabilidades do SLA em 95% e corrigiu 96% do total de vulnerabilidades críticas.
Quando o Log4Shell aconteceu, estávamos testando o Wiz e a equipe trabalhou em estreita colaboração conosco para ajudar a revisar toda a nossa nuvem em busca de vulnerabilidades. Depois de ver o Security Graph, eu sabia que era o ajuste certo. O Wiz é a única ferramenta de fornecedor que eu pessoalmente defendi fortemente no Zendesk porque sabia que resolveria nosso problema.
Como o Zendesk tem mais contexto em um só lugar, as equipes de segurança e engenharia também podem tomar decisões mais informadas sobre como e onde gastar tempo e quais problemas são os mais importantes para corrigir. As equipes podem facilmente fazer referência a tags, metadados e recomendações de priorização integradas do Wiz para ter uma compreensão completa das nuances de problemas específicos. Isso significa que os engenheiros que possuem ativos e projetos específicos podem trazer seus conhecimentos para a mesa e se alinhar com a segurança sobre a melhor forma de resolver um problema. "Digamos que nossa equipe de engenharia tenha tempo para realizar 10 tarefas em uma semana. Antes, poderíamos simplesmente ter entregado a eles 50 problemas e eles não saberiam por onde começar", compartilha Hendrix. "Agora, podemos compartilhar duas ou três questões específicas e explicar por que elas são importantes."
Construindo segurança em todas as camadas de cada produto
Mais da metade da organização de engenharia de 2.000 pessoas da Zendesk agora usa o Wiz e, à medida que mais membros confiam nele como fonte de verdade, as equipes de segurança e engenharia podem colaborar melhor usando uma linguagem compartilhada. "Minha equipe'O foco é elevar a postura de segurança da pilha de produtos da Zendesk em todas as camadas do produto", diz Hendrix. "Isso significa que, a partir do momento em que um engenheiro tem uma ideia para escrever código e implantar na produção, é seguro. Como nossos engenheiros agora usam o Wiz, eles também podem voltar para nós com suas próprias descobertas, e isso aproximou nossas equipes."
Com o Wiz CLI, a equipe implementou a verificação de vulnerabilidades para imagens de contêiner e verifica e cria sinalizadores durante o desenvolvimento local. O Zendesk fornece aos engenheiros um aviso gentil sobre configurações incorretas antes que elas continuem, para que eles possam se ajustar facilmente e continuar criando. Isso também garante que possíveis vulnerabilidades sejam detectadas à medida que entram em ambientes de teste e não coloquem em risco a produção. "Sabemos que não podemos impedir completamente as pessoas de construir uma imagem vulnerável, mas se pudermos sinalizar um problema, não teremos que nos preocupar com um novo SLA no futuro", diz Wagner.
Wiz nos dá uma linguagem comum entre segurança e engenharia. Ela'é uma ferramenta à qual todos têm acesso, é super intuitiva e fácil de aproveitar porque o contexto de que precisamos para trabalhar juntos e fazer nosso trabalho está em um só lugar.
Essa abordagem colaborativa para o monitoramento de segurança permitiu que a Zendesk mudasse gradualmente sua abordagem para a esquerda de segurança e o código seguro no início do processo de desenvolvimento. "Nosso grupo de segurança e meus engenheiros agora podem ser coproprietários e co-governar a segurança de nossas soluções porque temos uma ferramenta unificada", diz Wagner.
A equipe agora também pode monitorar e proteger seu ambiente para melhorar sua conformidade com suas parcerias federais usando Sensor de tempo de execução Wiz. "Com o Wiz Sensor, podemos avaliar continuamente nossas estruturas de conformidade e mostrar facilmente aos nossos parceiros que estamos atendendo aos nossos requisitos de FedRAMP, SOC II, PCI e outros, porque podemos ver tudo em tempo real", diz Wagner. "Isso é inestimável porque podemos acompanhar os padrões à medida que eles mudam e manter essas parcerias valiosas."
Implementando novas salvaguardas para uma infraestrutura de nuvem em crescimento
À medida que a Zendesk continua a evoluir sua abordagem de segurança na nuvem, ela está procurando usar Wiz Defenda para melhorar sua segurança em tempo de execução e monitorar vulnerabilidades com um nível mais alto de sinal. "Ter visibilidade em tempo real será um divisor de águas porque podemos reduzir o tempo necessário para detectar, investigar e conter ataques na nuvem", diz Hendrix.
A equipe também vê Wiz como uma peça-chave de sua estratégia contínua para mudar mais à esquerda. "Queremos ser capazes de verificar cada vez mais cedo se há configurações incorretas e problemas de tag no início do nosso processo", acrescenta Hendrix. "O Wiz é uma parte essencial do amadurecimento de nossa abordagem de segurança."
