Betterment logo

# Automatische Skalierung der Sicherheit von Produktionsanwendungen in der CI/CD-Pipeline von Betterment

## Herausforderung

Betterment suchte nach einer Lösung zum Schutz der personenbezogenen Daten und Vermögenswerte seiner Kunden. Sie sollte sich automatisch skalieren lassen und Angriffe abwehren können, ohne eine laufende Anpassung der Signaturen zu erfordern oder die Performance zu beeinträchtigen.

Betterment ist ein Online-Finanzberater mit einem verwalteten Vermögen von mehr als 14 Milliarden US-Dollar. Das Unternehmen unterstützt eine Nutzerbasis von über 380.000 Kunden, die auf seine Online-Plattform zugreifen. Hierfür fährt es täglich zahlreiche Webserver über seine kontinuierliche Integrations- und Bereitstellungspipeline (CI/CD) hoch. Zu wissen, ob, wann und wie ihre Nutzer-Accounts angegriffen werden könnten, ist der Schlüssel zu deren Sicherheit. Vor der Implementierung von Signal Sciences stellte das Signal-Rausch-Verhältnis (aufgrund von früheren Erfahrungen mit herkömmlichen WAFs) die größte Sorge der Entwickler- und Sicherheitsteams von Betterment dar. Entscheidend war, dass sich eine WAF automatisch skalieren ließ und Angriffe präzise abwehren konnte. Außerdem sollte das Anrufvolumen beim Support nicht erhöht werden oder zusätzliche Arbeit für Dev und Sec verursachen.

„Das hohe Signal-Rausch-Verhältnis war ausschlaggebend für unsere Wahl von Signal Sciences. Mithilfe dieser Technologie kann unser Security-Team bösartige Aktivitäten, die es auf unsere Anwendungen abgesehen haben, verstehen und verfolgen und so unsere Kunden schützen. Seit der Bereitstellung und Einrichtung unserer Next-Gen WAF gab es bei uns keinen einzigen Fehlalarm mehr. Dadurch hat sich unser Security-Aufwand deutlich verringert und die Nutzerfreundlichkeit stark erhöht. Außerdem kann das Team Regeln für neue Angriffsvektoren und Payloads in einer sich ständig weiterentwickelnden Bedrohungslandschaft konfigurieren und ändern, um das Geschäftsrisiko zu mindern.“ Anson Gomes, Lead Security Engineer

## Lösung

Seit der Einführung von Signal Sciences konnte das Sicherheitsteam von Betterment seinen Arbeitsaufwand durch die Automatisierung von Bereitstellung und Updates sowie den schnellen Zugriff auf fundierte Erkenntnisse ohne Performance-Einbußen verringern.

### Automatisch skalierbare Webverteidigung

Für die Bereitstellung von Signal Sciences hat das Operations-Team von Betterment ein einfaches Ansible Playbook geschrieben. So installiert jede neue Anwendungsinstanz automatisch die Modules und Agents von Signal Sciences als Teil der CI/CD-Pipeline. „Wir hatten weder Installations- noch Aktualisierungsaufwand“, so Anson Gomes, Lead Security Engineer bei Betterment. Als ehemaliger Sicherheitsberater hatte Gomes zuvor herkömmliche WAFs getestet, die sich nicht nativ skalieren ließen und für jeden App-Server eine neue WAF-Instanz bereitstellen mussten. Das trieb die Kosten und die Komplexität in die Höhe, wofür das Unternehmen keine Zeit hatte.

### Besserer Schutz bei gleichzeitiger Einhaltung der Website SLAs

Das Team von Betterment war beeindruckt von dem robusten Schutz vor bösartigen Anfragen, den Signal Sciences ganz ohne Konfigurationsaufwand bot. Ein weiterer Vorteil: Signal Sciences beeinträchtigt weder die Performance und Verfügbarkeit der Anwendung, noch vergrößert es die Angriffsfläche von Betterment. Mit nutzerfreundlichen, transparenten Dashboards werden entdeckte Schwachstellen an das jeweilige Team gemeldet. So können sie schnell behoben werden.

Signal Sciences hat auch die Transparenz für das Operations-Team erhöht. Die Dashboards zeigten die Ergebnisse eines Standardscans. Dieser deckte einige unbekannte Services und Fehlkonfigurationen auf, die zur Optimierung des Warnsystems und zur Korrektur des Anwendungsverhaltens genutzt wurden.

### Konfigurierbare Power Rules sorgen für Sicherheit und Compliance

Zusätzlich zu den schlüsselfertigen Erkennungsfunktionen, die bösartigen Traffic automatisch blockieren, nutzt Betterment Power Rules, um Angriffe auf seine einzigartige Anwendungslogik zu verhindern und Finanzdaten zu schützen. So kann das Unternehmen beispielsweise den Missbrauch seiner APIs definieren, überwachen und blockieren, indem es den Zugriff je nach Ursprung einschränkt. Power Rules zum Schutz vor Account-Übernahmen können mit nutzerfreundlichen Dropdown-Menüs im Dashboard konfiguriert werden. Auch sie wurden eingesetzt, um Nutzer-Accounts zu schützen.

„Die WAF ist sofort einsatzbereit, lässt sich automatisch skalieren und liefert hervorragende Transparenz sowie zuverlässigen Schutz.“ Anson Gomes, Lead Security Engineer