Paidy wendet sich an Orca Security für Multi-Cloud-Visibilität, spart zwei Vollzeitstellen und 500.000 Dollar pro Jahr an Kosten für Cloud Security Management

Paidy – ein japanisches Finanzinstitut in der Cloud

Paidy ist ein führendes Fintech-Unternehmen, das kartenlose Zahlungen und andere Finanzdienstleistungen für den japanischen Massenmarkt und Unternehmen anbietet. Die Lösungen des Unternehmens stehen an vorderster Front bei der Revolutionierung von Online- und mobilen Zahlungen, P2P-Überweisungen, persönlichen Finanzen und Händlerabrechnungen. Paidy ermöglicht es Kunden, nur mit ihrer E-Mail-Adresse und einer Mobiltelefonnummer zu bezahlen. Es ist keine Kreditkarte oder Voranmeldung erforderlich. Um Betrug vorzubeugen, wird jede Transaktion mit einer PIN per SMS authentifiziert. Kunden können jetzt einkaufen und im Folgemonat eine konsolidierte Rechnung bezahlen.

Die gesamte Plattform von Paidy läuft in der Cloud – primär über mehrere AWS-Konten, aber auch über Azure und GCP. Es verfügt über mehrere Test- und Entwicklungsumgebungen. Da Finanztransaktionen über die Plattform abgewickelt werden, hat Sicherheit oberste Priorität. CISO Felix Beatty ist für die Optimierung der gesamten Sicherheitslage von Paidy verantwortlich.

„Wir sind im Wesentlichen ein Finanzinstitut in der Cloud“, sagt Beatty. „Weil wir so schnell gewachsen sind – mehr als drei Millionen Kunden in weniger als einem Jahr – gibt es Bereiche unseres Geschäfts, die verbessert werden können; Eine davon ist die Cloud-Sicherheit. Die meisten unserer Dienste laufen heute in der Cloud, daher brauchen wir Cloud-Sicherheitslösungen, die kritische Probleme sofort aufdecken, damit wir sie schnell beheben können.“

Mit der groß angelegten Cloud-Umgebung von Paidy wird vollständige Transparenz zur Herausforderung

Eine der größten Herausforderungen ist es, sich einen Überblick über die gesamte Paidy-Plattform zu verschaffen. „Wir haben eine große und komplexe Cloud-Umgebung; Es ist schwierig, all diese dynamischen Assets zu verwalten“, sagt Beatty. „Wir haben Hunderte von Entwicklern, die versuchen, Microservices so schnell wie möglich in die Cloud zu verschieben, Instanzen ein- und auszuschalten, Backups zu erstellen, S3-Buckets zu erstellen und so schnell zu arbeiten, dass es sehr schwierig ist, zu jedem Zeitpunkt zu wissen, was wir haben . Wir müssen wissen: „Wie ist die aktuelle Sicherheitslage aller unserer Cloud-Ressourcen?“

Jeremy Turner, Senior Cloud Security Engineer, ist seine rechte Hand bei der Sicherung der Cloud-Umgebung. Die beiden waren bereits ein Team, bevor sie zu Paidy kamen, und wissen, wie man Sicherheitsherausforderungen angeht.

Sicherheitsagenten sind großartig – wenn sie funktionieren (tun sie normalerweise nicht)

„Ich mache das schon sehr lange“, sagt Turner. „Ich habe gelernt, dass alles, was mit Sicherheit und Schwachstellen zu tun hat, normalerweise die Installation eines Agenten erfordert. Wenn Sie eine Weile in der Informationssicherheit gearbeitet haben, wissen Sie, dass Agenten kaputt gehen, aktualisiert werden müssen und Vektoren für andere Sicherheitslücken sein können.“

Turner gibt zu, dass Agenten großartig sind – wenn sie funktionieren. „Das tun sie normalerweise nicht. Es gibt so viele Abhängigkeiten und andere Dinge, die zu berücksichtigen sind. Ein Agent kann auf diesem Linux-Kernel funktionieren oder nicht, und dasselbe gilt für Windows-Versionen. Es gibt einfach so viele Variablen, die ins Spiel kommen Nachdem ich jahrelang mit Agenten zu tun hatte und dann sah, wie einfach Orca zu installieren und zu verwenden ist, wusste ich, dass der agentenlose Ansatz eine große Innovation und Spielveränderung darstellt“, sagt Turner.

“Ein Agent kann auf diesem Linux-Kernel funktionieren oder nicht, und dasselbe gilt für Windows-Versionen. Es gibt einfach so viele Variablen, die ins Spiel kommen. Nachdem ich jahrelang mit Agenten zu tun hatte und dann sah, wie einfach Orca zu installieren und zu verwenden ist, wusste ich, dass der agentenlose Ansatz eine große Innovation und Spielveränderung war.
Jeremy Turner

Senior Cloud Security Engineer

Veraltete Schwachstellen-Scanner und AWS-Tools waren unzureichend

Das Sicherheitsteam von Paydy hatte Erfahrung mit einer Vielzahl von Legacy-Tools, die für die Cloud angepasst wurden. Turner sagt: „Ich habe Trend Micro, Qualys und Tenable entweder in einer Unternehmensumgebung oder zu Testzwecken verwendet. Sowohl Tenable als auch Qualys schienen ihre bestehenden Unternehmensanwendungen lose an die Cloud angebunden zu haben. Dies funktioniert jedoch nicht gut, da Sie sich immer noch mit Agenten befassen müssen. Wir müssen uns immer noch mit Technologien auseinandersetzen, die sich nicht für Dinge wie Serverless oder Container eignen.“

“Sowohl Tenable als auch Qualys fühlten sich, als hätten sie ihre bestehenden Unternehmensanwendungen beiläufig mit der Cloud verbunden. Dies funktioniert jedoch nicht gut, da Sie sich immer noch mit Agenten befassen müssen. Wir müssen uns immer noch mit Technologien auseinandersetzen, die sich nicht für Dinge wie Serverless oder Container eignen.
Jeremy Turner

Senior Cloud Security Engineer

Paidy schloss auch Netzwerkscanner aus. Laut Turner: „Aufgrund meiner Erfahrung mit nicht authentifizierten Scannern wusste ich, dass sie nur eingeschränkt sichtbar sind und Ausfallzeiten verursachen können.

„Obwohl authentifizierte Scanner mehr Daten über Schwachstellen liefern, erfordern sie dennoch viel Konfigurationsarbeit und erhöhte Berechtigungen. Dies gefährdet Ihr Unternehmen, da Sie im Wesentlichen ein weiteres gemeinsames Konto und Passwort haben.“

Cloud-Anbieter wie Amazon bieten Security-Scanning-Tools an. „Der AWS Inspector von Amazon, ein Schwachstellen-Scanner, benötigt einen Agenten. Es ist normalerweise in das Amazon AMI integriert, funktioniert aber nur mit bestimmten AMIs“, fährt er fort. „AWS GuardDuty ist die ideale Lösung für Schwachstellen-Scans und Compliance-Checks. Aber die Berichterstattung ist sein größtes Thema; Die Verwendung der Daten kann eine Herausforderung darstellen. Es zeigt nur eine Liste von Schwachstellen und dann müssen wir herausfinden, was wir dagegen tun können.“

Beatty fügt hinzu: „Da wir mehrere AWS-Konten haben und mehrere Clouds verwenden, war es schwierig, eine einzige Glasscheibe zu haben, auf der wir alles überwachen konnten, was passiert. Multi-Cloud-Transparenz war unser Hauptthema. Außerdem haben wir nicht die Zeit und die Ressourcen, um ein Tool zu entwickeln, das z. B. AWS-Dienste oder ähnliches nutzt. Wir wollen einen Service, der keinen Agenten erfordert, den wir nicht ständig aktualisieren müssen und der einfach funktioniert.“ Für Paidy erfüllt Orca Security all diese Anforderungen und mehr.

Orca SideScanning™ bietet die dringend benötigte Sichtbarkeit

Die Orca Security-Plattform unterscheidet sich erheblich von anderen Sicherheitstools. Die als SaaS angebotene Lösung liest den Cloud-Blockspeicher nach dem Out-of-Band-Prinzip, also von der Seite – daher der Name SideScanning™. Innerhalb der Cloud-Umgebung des Kunden wird kein Code ausgeführt. Stattdessen erstellt Orca ein schreibgeschütztes Modell der Cloud-Umgebung, das dann gescannt wird, um potenzielle Sicherheitsprobleme zu bewerten.

Volle Transparenz ist das, was Turner am meisten schätzt. „Sichtbarkeit ist ein Thema, das jede Organisation betrifft. Orca hat uns sofort einen umfassenden und tiefen Einblick in unsere Bedrohungslandschaft gegeben“, sagt Turner. „Wenn wir diese Daten nehmen und sie den Leuten zeigen, öffnen sich ihre Augen. Wir hatten einen Fall, in dem Orca eine „bevorstehende Kompromittierung“ eines Systems aufdeckte, das wahrscheinlich zwei oder drei Jahre lang in einer Testumgebung gestanden hatte. Auf dem System lief ein völlig veraltetes Betriebssystem. Nachdem Orca das Problem identifiziert hatte, erstellten wir ein Ticket, an dem ein Techniker sofort arbeiten konnte. Wir hatten das Glück, die Sicherheitslücke zu schließen, bevor das System in UAT und Produktion ging.“

Beatty stimmt der Bedeutung der Sichtbarkeit zu: „Es gibt keine Entschuldigung dafür, Probleme zu übersehen, wenn sie vor einem liegen. Und es wird nicht deutlicher als die Meldung „Drohende Kompromittierung“ auf dem Orca-Dashboard.“

Orca hilft Paidy auch bei Problemen mit der Kontoerweiterung. „Wir betreiben 12 AWS-Konten“, sagt Turner. „Wir wussten nicht, was in allen steckt, also haben wir sie mit Orca verknüpft. Innerhalb von 30 Minuten hatten wir einen Überblick über die Gesamtsituation aller Konten. Sonst hätten wir das nie so schnell hinbekommen.“

Vermögensverwaltung ist eine weitere Funktion, die Orca Security für Paidy bereitstellt. Orca bietet eine Bestandsaufnahme des Standorts jedes Assets, Metadaten und eine Liste der Schwachstellen. „Es ist ziemlich cool, wenn ich eine Instanz auswählen und sehen kann, wer sich dort angemeldet hat, wie viele fehlgeschlagene Anmeldeversuche es gibt oder welche Pakete dort installiert sind. Ich schätze es, dass ich dies tun kann, ohne für jede Instanz auf einen Agenten angewiesen zu sein“, sagt er Turner.

Orca Security identifiziert und schützt personenbezogene Daten und unterstützt die Compliance-Bemühungen von Paydy

Während Paidy Erfahrungen mit der Orca-Sicherheitsplattform sammelt, findet das Team immer mehr Möglichkeiten, die generierten Daten zu nutzen. Als Fintech-Unternehmen sind wir sehr besorgt über toxische Datenkombinationen – Orca hilft uns dabei“, sagt Turner. „Kunden müssen beispielsweise ihre Handynummer angeben, um unseren Service nutzen zu können E-Mail-Adressen kombiniert mit möglichen Bankkontoinformationen und Kaufhistorie, dann haben wir es mit personenbezogenen Daten und japanischen Datenschutzbestimmungen zu tun.“

Turner erklärt, wie Orca zum Schutz personenbezogener Daten beiträgt.“ „Eine Funktion informiert uns, wenn Orca persönliche Informationen vermutet. Es ist wie eine Warnung, die uns sagt: „Dieser Server enthält E-Mail-Adressen, die nicht zupaidy.com gehören. Was ist los?‘ Dann können wir nachforschen. Im Moment sagt das Tool nicht: „Hier ist eine toxische Datenkombination“, aber es zeigt uns, wo wir suchen müssen. Wir hatten eine Situation, in der das Data-Science-Team einen Datenbank-Joiner erstellte, der zu einer hochgiftigen Kombination von Daten führte. Orca hat uns geholfen, das rechtzeitig zu erkennen und im Keim zu ersticken.“

Paidy ist verpflichtet, eine Reihe von Datenschutzgesetzen einzuhalten. Japans grenzüberschreitende Datenschutzverordnung ähnelt der EU-DSGVO, und Japans Gesetz zum Schutz personenbezogener Daten wurde 2004 erlassen. Orca hilft Wirtschaftsprüfern zu beweisen, dass Paidy in der Lage ist, personenbezogene Daten zu identifizieren und zu verschlüsseln. Paidy hat die Gewissheit, nach kompromittierten personenbezogenen Daten suchen zu können.

Turner verwendet die Integration von Orca Security mit Jira, um Tickets zu öffnen. Diese lösen wiederum Workflows aus, damit Personen und Prozesse geeignete Maßnahmen ergreifen können, z. B. das Verschlüsseln vertraulicher Daten oder das Beheben anderer von Orca erkannter Probleme.

“Eine Funktion lässt uns wissen, wenn Orca personenbezogene Daten vermutet … Wir hatten eine Situation, in der das Data-Science-Team einen Datenbank-Joiner erstellte, der zu einer hochgiftigen Kombination von Daten führte. Orca hat uns geholfen, dies rechtzeitig zu erkennen und im Keim zu ersticken.
Jeremy Turner

Senior Cloud Security Engineer

Orca steigert bezahlten Umsatz durch beschleunigtes Onboarding von Händlern

Orca hilft Paidy dabei, mehr Händler an Bord zu holen und so seinen Umsatz zu steigern. „Normalerweise verlangen Einzelhändler eine Sicherheitsüberprüfung durch Dritte“, sagt Beatty. „Orca erleichtert es uns, nachzuweisen, dass wir nach Schwachstellen suchen und diese bei Bedarf beheben. Dies gibt Händlern Vertrauen in unsere Sicherheitspraktiken und hilft, ihr Vertrauen zu gewinnen.

Beatty erwägt die Kosten für die Integration und Anpassung mehrerer Legacy-Lösungen durch sein Team, um einen Einblick in die Umgebung zu erhalten. Paidy schätzte, dass die Einrichtung und Verwaltung einer solchen Lösung zwei Vollzeitmitarbeiter und eine halbe Million Dollar pro Jahr erfordern würde – Kosten, die deutlich höher sind als der Orca-Dienst, der vollständig in seinem Namen verwaltet und gewartet wird.

„Wenn ich mit Kollegen über Orca spreche, weise ich darauf hin, dass es uns Einblick in alle unsere Cloud-Umgebungen gibt – nicht nur AWS, sondern auch Azure und GCP. Je mehr Konten wir haben, desto mehr Wert erhalten wir, weil wir jetzt wissen, was unsere Leute tun“, sagt Beatty.