## Herausforderung

Betterment suchte nach einer Lösung zum Schutz der personenbezogenen Daten und Vermögenswerte seiner Kunden. Sie sollte sich automatisch skalieren lassen und Angriffe abwehren können, ohne eine laufende Anpassung der Signaturen zu erfordern oder die Performance zu beeinträchtigen.

Betterment ist ein Online-Finanzberater mit einem verwalteten Vermögen von mehr als 14 Milliarden US-Dollar. Das Unternehmen unterstützt eine Nutzerbasis von über 380.000 Kunden, die auf seine Online-Plattform zugreifen. Hierfür fährt es täglich zahlreiche Webserver über seine kontinuierliche Integrations- und Bereitstellungspipeline (CI/CD) hoch.
Zu wissen, ob, wann und wie Nutzer-Accounts angegriffen werden könnten, ist der Schlüssel zu deren Sicherheit. Vor der Implementierung von Signal Sciences stellte das Signal-Rausch-Verhältnis (aufgrund von früheren Erfahrungen mit herkömmlichen WAFs) die größte Sorge der Entwickler- und Sicherheitsteams von Betterment dar. Entscheidend war, dass sich eine WAF automatisch skalieren ließ und Angriffe präzise abwehren konnte. Außerdem sollte das Anrufvolumen beim Support nicht erhöht werden oder zusätzliche Arbeit für Dev und Sec verursachen.

## Lösung

Seit der Einführung von Signal Sciences konnte das Sicherheitsteam von Betterment seinen Arbeitsaufwand durch die Automatisierung von Bereitstellung und Updates sowie den schnellen Zugriff auf fundierte Erkenntnisse ohne Performance-Einbußen verringern.

### Automatisch skalierbare Webverteidigung

Für die Bereitstellung von Signal Sciences hat das Operations-Team von Betterment ein einfaches Ansible Playbook geschrieben. So installiert jede neue Anwendungsinstanz automatisch die Modules und Agents von Signal Sciences als Teil der CI/CD-Pipeline. „Wir hatten weder Installations- noch Aktualisierungsaufwand“, so Anson Gomes, Lead Security Engineer bei Betterment. Als ehemaliger Sicherheitsberater hatte Gomes zuvor herkömmliche WAFs getestet, die sich nicht nativ skalieren ließen und für jeden App-Server eine neue WAF-Instanz bereitstellen mussten. Das trieb die Kosten und die Komplexität in die Höhe, wofür das Unternehmen keine Zeit hatte.

### Besserer Schutz bei gleichzeitiger Einhaltung der Website SLAs

Das Team von Betterment war beeindruckt von dem robusten Schutz vor bösartigen Anfragen, den Signal Sciences ganz ohne Konfigurationsaufwand bot. Ein weiterer Vorteil: Signal Sciences beeinträchtigt weder die Performance und Verfügbarkeit der
Anwendung, noch vergrößert es die Angriffsfläche von Betterment. Mit nutzerfreundlichen, transparenten Dashboards werden entdeckte Schwachstellen an das jeweilige Team gemeldet. So können sie schnell behoben werden.

Signal Sciences hat auch die Transparenz für das Operations-Team erhöht. Die Dashboards zeigten die Ergebnisse eines Standardscans. Dieser deckte einige unbekannte Services und Fehlkonfigurationen auf, die zur Optimierung des Warnsystems und zur Korrektur des Anwendungsverhaltens genutzt wurden.

### Konfigurierbare Power Rules sorgen für Sicherheit und Compliance

Zusätzlich zu den schlüsselfertigen Erkennungsfunktionen, die bösartigen Traffic automatisch blockieren,
nutzt Betterment Power Rules, um Angriffe auf seine einzigartige
Anwendungslogik zu verhindern und Finanzdaten zu schützen. So kann das Unternehmen beispielsweise
den Missbrauch seiner APIs definieren, überwachen und blockieren, indem es den Zugriff
je nach Ursprung einschränkt. Power Rules zum Schutz vor Account-Übernahmen
können mit nutzerfreundlichen Dropdown-Menüs im Dashboard konfiguriert werden.
Auch sie wurden eingesetzt, um Nutzer-Accounts zu schützen.