DesafioA FOX queria se afastar das ferramentas de segurança na nuvem que sobrecarregavam os proprietários de ambientes com alertas ruidosos. A equipe perdia muito tempo com alertas que não melhoraram significativamente a redução de riscos.
A FOX está constantemente inovando para oferecer ao seu público a melhor experiência possível. Apesar desse ritmo acelerado de mudanças, a FOX precisa garantir que seu conteúdo seja protegido.
A FOX queria obter visibilidade abrangente sobre as vulnerabilidades em seu ambiente de nuvem distribuída, juntamente com um mecanismo eficaz para corrigir desvios de suas políticas de segurança.
SoluçãoO Wiz prioriza riscos e ajuda a otimizar o tempo dos membros da equipe com um contexto de risco acionável, melhorando a confiança dentro das equipes responsáveis por responder aos dados de segurança.
O Wiz capacita os desenvolvedores da FOX a corrigir problemas de segurança em seus próprios ambientes, democratizando a segurança em toda a organização e munindo mais de 150 membros da equipe com ferramentas para incorporar a segurança em seus processos diários, respeitando fluxos de trabalho acelerados.
O Wiz fornece à FOX visibilidade de alto nível de sua postura na nuvem, ao mesmo tempo em que ajuda as equipes de nível básico a agir com base em insights relevantes que contribuem para uma melhor postura de segurança em seu dia a dia.
Como se manter à frente dos desafios de cibersegurançaQuando você está no negócio de notícias ao vivo, esportes e entretenimento, precisa estar pronto para qualquer coisa. É por isso que, como uma das maiores empresas de mídia do mundo, a FOX combina sua missão de produzir e entregar conteúdo televisivo icônico aos fãs com a equipe e a tecnologia certas para entender os riscos emergentes antes que eles se tornem problemas.
“A FOX é uma empresa empreendedora que está se movendo muito rápido em direção ao futuro”, explica Melody Hildebrandt, diretora de segurança da informação da FOX. “Porém, ela também tem uma longa história, muita propriedade intelectual e muitos eventos icônicos que temos o privilégio de entregar e proteger. O Wiz entrou em cena para nos permitir nos sentir seguros e confiantes na velocidade com que estamos nos movendo, mesmo quando nossos desafios de segurança cibernética continuam mudando.”
O Wiz entrou em cena para nos permitir nos sentir seguros e confiantes na velocidade com que estamos nos movendo, mesmo quando nossos desafios de segurança cibernética continuam mudando.
Como empoderar as equipes para que se concentrem no que mais importa todos os diasComo um dos primeiros a adotar a nuvem, a FOX tinha uma estratégia de segurança em nuvem em vigor muito antes de recorrer ao Wiz. O longo e profundo relacionamento da empresa com a AWS permitiu que ela fosse pioneira em muitas cargas de trabalho na nuvem, deixando para trás o que eram considerados problemas locais complexos. Ser uma organização que prioriza a nuvem capacitou a FOX com a agilidade necessária para inovar continuamente a fim de melhor atender a seus clientes. Porém, do ponto de vista da segurança, ser pioneiro em capacidades técnicas e se mover rápido também tem consequências, explica Hildebrandt.
“A inovação contínua significa que muitas vezes estamos superando os mecanismos de defesa atuais e potencialmente introduzindo novas classes de riscos ao nosso ambiente. Chegou a um ponto em que nosso sistema de alerta de segurança anterior fornecia alertas de baixo valor que eram duvidosos, não acionáveis e simplesmente excessivos. Acabamos perdendo a confiança das equipes que são responsáveis por responder a esses dados. Foi quando soubemos que tínhamos de fazer algo diferente”, ela se recorda.
Ao usar uma ferramenta antiga baseada em agentes, a FOX repetidamente se deparava com problemas de alerta excessivo que não forneciam contexto suficiente para impulsionar ações. Portanto, ao avaliar como corrigir o problema, era uma prioridade para a FOX tornar cada engajamento com os proprietários do ambiente de alta fidelidade digno do tempo daquelas pessoas, além de acionável. Para isso, a empresa buscou uma solução de tecnologia que pudesse fornecer visibilidade total sobre os recursos e problemas em seus ambientes de nuvem, além de identificar e correlacionar problemas para oferecer contexto suficiente para que um desenvolvedor saiba exatamente como priorizar e resolver riscos.
“Quando fomos apresentados ao Wiz, uma das coisas mais impressionantes foi que, em um dia de implantação, ele funcionou em todo o nosso ambiente e nos mostrou um conjunto de descobertas críticas que todos deveriam priorizar imediatamente”, compartilha Hildebrandt. “O Wiz atinge o equilíbrio certo entre fornecer visibilidade de alto nível de toda a nossa postura de nuvem e fornecer aos engenheiros os recursos práticos para resolver problemas no local.”
Quando fomos apresentados ao Wiz, uma das coisas mais impressionantes foi que, em um dia de implantação, ele funcionou em todo o nosso ambiente e nos mostrou um conjunto de descobertas críticas que todos deveriam priorizar imediatamente. O Wiz atinge o equilíbrio certo entre fornecer visibilidade de alto nível de toda a nossa postura de nuvem e fornecer aos engenheiros os recursos práticos para resolver problemas no local.
Democratizando a segurança em toda a organizaçãoComo produto, o Wiz ajuda a FOX a agir em sua visão de democratizar a segurança, combinando sinais de alta qualidade com uma plataforma facilmente compreensível que capacita as equipes a corrigir problemas em seu fluxo de trabalho diário, mesmo que seus trabalhos principais não envolvam cibersegurança. A equipe de gerenciamento da FOX tem uma visão central dos diferentes ambientes de nuvem em toda a empresa. Enquanto isso, várias equipes nas marcas e subsidiárias sob o guarda-chuva da FOX também usam o Wiz para detectar e corrigir riscos em seus próprios ambientes, enquanto trabalham para levar conteúdo às telas de milhões de espectadores todos os dias.
Usar o Wiz como uma ferramenta para a democratização da segurança também significa que a FOX está efetivamente espalhando o impacto de sua equipe de cibersegurança sem sobrecarregar seus membros. “Unir engenheiros que entendem os riscos com as ferramentas para remediá-los é incrivelmente poderoso”, afirma Hildebrandt. “Há 10 vezes mais proprietários de ambientes, desenvolvedores e engenheiros usando o Wiz do que membros da equipe de segurança na FOX. Isso nos ajuda a garantir que os produtos enviados por mais de milhares de tecnólogos em toda a empresa contenham segurança, o que vai além do impacto que uma pequena e poderosa equipe de cibersegurança pode oferecer sozinha”, acrescenta.
Unir engenheiros que entendem os riscos com as ferramentas para remediá-los é incrivelmente poderoso. Há 10 vezes mais proprietários de ambientes, desenvolvedores e engenheiros usando o Wiz do que membros da equipe de segurança na FOX. Isso nos ajuda a garantir que os produtos enviados por mais de milhares de tecnólogos em toda a empresa contenham segurança, o que vai além do impacto que uma pequena e poderosa equipe de cibersegurança pode oferecer sozinha.
Crescendo como equipe, aconteça o que acontecerMomentos de crise, como a recente descoberta de uma vulnerabilidade da cadeia de suprimentos no ambiente da FOX, reforçam o valor da abordagem da empresa à segurança. Ter o Wiz implantado durante esta crise significou que a FOX foi capaz de usá-lo como uma fonte de verdade a respeito de quais exposições potenciais a empresa tinha, e quão rápido elas estavam sendo corrigidas.
“Todas as equipes em nossa sala de guerra tinham o Wiz aberto em suas telas”, relembra Hildebrandt. “Sua capacidade de descoberta de software nos ajudou a isolar as instâncias que importavam, pois pudemos ver imediatamente qual software estava sendo executado que poderia conter o componente vulnerável. Isso nos permitiu ter uma noção de qual era a nossa exposição, para que pudéssemos criar uma lista de remediação e começar a agir imediatamente.”
A capacidade de descoberta de software do Wiz nos ajudou a isolar as instâncias que importavam, pois pudemos ver imediatamente qual software estava sendo executado que poderia conter o componente vulnerável. Isso nos permitiu ter uma noção de qual era a nossa exposição, para que pudéssemos criar uma lista de remediação e começar a agir imediatamente.
Além disso, como a ferramenta foi usada não apenas pela equipe de cibersegurança, mas por 10 vezes esse número de pessoas em toda a organização, a FOX teve mãos extras para ajudar a responder ao incidente. “Em um momento de crise, há potencialmente o risco de ter uma lista tão grande de coisas para fazer que você não sabe por onde começar. Foi aí que nossa abordagem democratizada de segurança valeu a pena, porque todos com acesso ao Wiz já sabiam como fazer login no sistema, ver quais softwares estavam vulneráveis em seus próprios ambientes e tomar medidas para começar a corrigir o problema”, explica Hildebrandt.
Construindo uma organização de segurança ágil e colaborativaEm seguida, a FOX está procurando aproveitar o Wiz na pré-produção para continuar avançando rapidamente enquanto corrige possíveis problemas logo no início. A empresa está fazendo a ponte entre adotar uma forte abordagem de segurança e enviar recursos rapidamente, trazendo todos a bordo com sua estratégia de segurança e criando um entendimento comum da nuvem e seus cenários de risco entre as equipes. Uma maneira de fazer isso é promovendo uma cultura de colaboração estreita que capacite todos a desempenhar um papel.
Essa colaboração ajudou a construir relações de trabalho entre as equipes de segurança e desenvolvimento, e coloca a FOX em posição de se deslocar ainda mais para a esquerda e aproveitar o Wiz mais cedo no pipeline de desenvolvimento. “Ter o Wiz nas mãos de tantos engenheiros nos dá a oportunidade de avançar ainda mais em seus processos”, afirma Hildebrandt. “Esse aprendizado já está acontecendo, e estou animada em formalizar isso em CI/CD real.”
“Uma coisa bacana sobre o Wiz é que seu vocabulário, interface e a maneira como agrega conceitos em formatos legíveis por humanos possibilitam que muitas equipes e tipos diferentes de pessoas o usem. O mesmo não pode ser dito para muitas tecnologias de segurança. Essa democratização do conhecimento e das ferramentas não pode ser dimensionada em termos de como nos permitirá escalar no futuro”, conclui.