Rapyd nutzt die von Orca Security gewonnen, tiefen Einblicke in die Cloud zum Schutz globaler Zahlungssysteme

Rapyd beseitigt die Barrieren für universelle Zahlungen

Rapyd bekämpft die Fragmentierung in der globalen Zahlungsbranche. Das Unternehmen entwickelt die Technologie, die die Komplexität des grenzüberschreitenden Handels beseitigt und gleichzeitig das Know-how für lokale Zahlungen bereitstellt.

Globale E-Commerce-Unternehmen, Technologieunternehmen, Online-Marktplätze und Finanzinstitute nutzen die Fintech-as-a-Service-Plattform von Rapyd, um lokalisierte Fintech- und Zahlungsfunktionen nahtlos und einfach in ihre Anwendungen einzubetten. Das Rapyd Global Payments Network bietet Unternehmen Zugang zum weltweit größten lokalen Zahlungsnetzwerk, das über 900 lokal bevorzugte Zahlungsmethoden umfasst. Dazu gehören Banküberweisungen, elektronische Geldbörsen und Bargeld in mehr als 100 Ländern.

Orca macht das Patch-Management zum Kinderspiel

Jedes globale digitale Zahlungssystem muss heute unermüdlich auf Sicherheit ausgerichtet sein. Das ist es, was Nir Rothenberg, CISO von Rapyd, der die IT- und Sicherheitsoperationen leitet, antreibt. Obwohl sein Unternehmen über gute Sicherheitspraktiken verfügt, war es immer eine Herausforderung, dies gegenüber Prüfern nachzuweisen.

„Unser Geschäft sind Zahlungen, also müssen wir PCI DSS-konform sein – und das sind wir auch“, sagt Rothenberg. „Jedes Jahr wollen die Auditoren sehen, dass wir einen guten Patch-Prozess haben. Wir patchen unermüdlich, aber aus verschiedenen Gründen nie zu 100 Prozent. Alles zu dokumentieren, um zu zeigen, dass wir alles unter Kontrolle haben, war eine echte Tortur, bevor wir Orca gefunden haben.“

Rapyd läuft vollständig in der Cloud, wobei alles auf AWS läuft. Rothenberg wollte ein intelligentes Tool, das einen vollständigen Überblick über die Server bietet, die wirklich einen Patch benötigen. Er strebte nach einer priorisierten Liste, die alles in einen Kontext stellt. Viele Tools können scannen und auflisten, was gepatcht werden muss, aber ohne Kontext ist die Liste lang und vieles davon bedeutungslos.

„Nativen AWS-Tools mangelt es an Intelligenz. Ein AWS Inspector-Scan kann uns zwar Ergebnisse liefern, aber diese Ergebnisse passen nicht immer in unseren Kontext“, sagte Rothenberg. „Wir erhalten eine Liste mit Tausenden von Patches, die alle als kritisch eingestuft sind. Einige können jedoch nicht eingeführt werden, weil sie nicht zu unserer Distribution passen oder für Offline-Server sind, auf denen Patches keine Rolle spielen. Wenn ich einem Wirtschaftsprüfer einen solchen Bericht zeigen würde, würde er denken, dass wir uns nicht um unsere Angelegenheiten kümmern.“

“Orca-Scans liefern einen aussagekräftigen und umsetzbaren Bericht, der alles in einen Kontext stellt. Neben den Ergebnissen liefert er auch periphere Überlegungen zur Steuerung unseres Patch-Management-Prozesses.
Nir Rothenberg

Chief Information Security Officer

„Nehmen wir an, es gibt einen Server mit einer kritischen Schwachstelle. Es gibt einen Patch, der unter Ubuntu 18.4 funktioniert, aber wir haben 18.9. Also können wir in diesem Zusammenhang nicht patchen. Außerdem ist der Server nicht mit dem Internet verbunden, also spielt sowieso keine Rolle. Orca sagt uns: ‚Kritischer Patch, mittleres Risiko‘. Das kann ich einem Wirtschaftsprüfer zeigen, um unser Handeln zu rechtfertigen.“

Rothenberg bewertete verschiedene AWS-Tools, darunter GuardDuty, Inspector und Detective, sowie herkömmliche agentenbasierte Sicherheitstools und Netzwerkscanner. Er stellte fest, dass diese Tools viel Aufwand erfordern, um zu funktionieren – zu viel, um dem nahe zu kommen, was Orca direkt aus einer einzigen Quelle liefert.

„Mit agentenbasierten Tools müssten wir Server einrichten, einen Agenten bereitstellen, Skripte schreiben und ausführen, unsere Umgebung kennen und ein Dashboard konfigurieren, das zeigt, was wir sehen möchten. Wir müssten dem Agenten beibringen, was ein Risiko ist und was nicht, und einen Großteil der Analysearbeit selbst erledigen. Und wir müssten es immer wieder neu anpassen, denn Risiken sind dynamisch. Es ändert. Orca führt all diese Schritte automatisch aus.“

Orca identifiziert die Nichteinhaltung von CIS-Kontrollen und Risiken für personenbezogene Daten

Rothenberg überwacht Rapyds Einhaltung der Vorschriften des Center for Internet Security Controls. Erneut versuchte er es mit nativen AWS-Tools und fand sie unzureichend. „Wir müssen selbst herausfinden, was ihre Scan-Ergebnisse bedeuten. Aber mit Orca werden die Scan-Ergebnisse verarbeitet und auf den Punkt gebracht. Wir können sofort sehen, welche Nichtkonformitäten mit CIS sofortiges Handeln erfordern. Wir haben Orca mit Jira integriert – wir Klicken Sie jetzt einfach auf eine Schaltfläche, um DevOps Arbeit zuzuweisen.“

Das Erstellen von Tickets ist laut Rothenberg für die interne Aufgabenverfolgung unerlässlich. „Da wir zu jedem Zeitpunkt die Aufgaben und die damit verbundenen Risiken kennen, können wir die DevOps priorisieren, damit sie nicht überfordert werden. Wenn wir unter die Lupe genommen werden, können wir zeigen: ‚Das ist unsere Pipeline, das ist unser Arbeitsplan.‘ Es ist alles in Jira und alles hat einen Prüfpfad.“

„Orca gibt uns sofortigen und nicht-invasiven Einblick in unsere gesamte Infrastruktur.“
Nir Rothenberg

Chief Information Security Officer

Der CISO wendet sich auch an Orca, um Situationen zu identifizieren, in denen personenbezogene Daten in Dateien gefährdet sind, die möglicherweise nicht ordnungsgemäß geschützt sind. „Als Zahlungsabwickler sind wir sehr sensibel gegenüber der Offenlegung personenbezogener Daten. Wenn ein Server personenbezogene Daten enthält oder Verschlüsselungsschlüssel offengelegt werden, erkennt Orca dies sofort und zeigt uns die Risiken für diesen Computer und dieses Objekt auf. Wir sind in der Lage, den Vorfall schnell zu lösen.“

In den Vorjahren erfasste Rapyd Schwachstellen in Excel-Tabellen. Orca hat dieses Verfahren obsolet gemacht. „Jetzt ist alles automatisiert und hat eine CI/CD-Pipeline. Wenn wir uns das nächste Mal einer Prüfung stellen, kann ich unsere Orca- und Jira-Berichte bereitstellen, um zu zeigen, welche Risiken wir verfolgen und was wir tun, um sie zu beseitigen“, sagt Rothenberg. „Mit der Art und Weise, wie wir unsere Assets heute überwachen, wird es sehr einfach, Patching und Compliance nachzuweisen.“

„Wir glauben, dass Einfachheit Sicherheit einfacher macht.“
Nir Rothenberg

Chief Information Security Officer

Einfachheit führt zu mehr Sicherheit

Orca hat dem Sicherheitsteam von Rothenberg das Leben leichter gemacht. „Gleich nachdem wir Orca mit unserer Umgebung verbunden hatten, fand es sofort viele interessante Dinge. Ohne Orca hätten wir diese Erkenntnis nie bekommen.“

„Orca ist eine große Hilfe für unsere Arbeit mit DevOps“, sagt Rothenberg. „Mein Systemadministrator kann jetzt auf Augenhöhe mit DevOps sprechen. Er kann erklären, was wir gefunden haben, er kann es Ihnen zeigen. Das hilft uns, professioneller zu werden, die Umwelt besser zu sehen und besser zu verstehen. Jetzt können wir besser mit DevOps zusammenarbeiten und ihnen mehr helfen. Das ist ein echter Schritt in Richtung DevSecOps. Jetzt sind wir eine gut geölte Maschine. Die organisatorische Reibung zwischen Sicherheit und DevOps ist vorbei.“