Betterment logo


Escalabilidad automatizada de la seguridad para aplicaciones en producción en la canalización de CI/CD de Betterment

El problema


Betterment necesitaba una solución que ayudara a proteger la PII y los activos financieros de los clientes, que se pudiera escalar automáticamente y que bloqueara ataques. Y todo ello sin realizar ajustes personalizados constantes ni sacrificar el rendimiento.


Betterment es una asesoría financiera online que gestiona activos por un valor superior a 14 000 millones de USD. Para dar servicio a sus más de 380 000 clientes, la plataforma online de la empresa utiliza a diario multitud de servidores web a través de su canalización de integración y despliegue continuos (CI/CD). La clave para mantener la seguridad de los clientes reside en tener datos que confirmen si las cuentas de usuario están sufriendo un ataque, el momento en que este se produce y qué forma adopta. Tras usar WAF antiguos, lo que más preocupaba a los equipos de Ingeniería y Seguridad de Betterment antes de adoptar Signal Sciences era la relación señal-ruido. Era vital contar con un WAF que ofreciera escalabilidad automática y precisión en el bloqueo de los ataques. Y que, al mismo tiempo, no desbordara a los departamentos de Ingeniería o Seguridad por un incremento de la carga de trabajo o una avalancha en las llamadas de soporte técnico.


La solución


Adoptar Signal Sciences redujo la carga de trabajo del departamento de Seguridad de Betterment. ¿Cómo? Automatizando los despliegues y las actualizaciones y facilitando el acceso rápido a datos reveladores y fiables sin sacrificar el rendimiento.


Medidas de protección web autoescalables


Para implementar Signal Sciences, el departamento de Operaciones de Betterment programó una sencilla estrategia de Ansible. Así, a cualquier instancia de una aplicación nueva se le instalan módulos y agentes de Signal Sciences de manera automática como parte de su canalización de CI/CD. En palabras de Anson Gomes, Lead Security Engineer de Betterment, «no hemos tenido que intervenir para nada, ni siquiera para instalarlo o actualizarlo». Gomes, exconsultor de seguridad, había realizado pruebas con versiones antiguas de WAF. El problema era que no tenían escalabilidad de serie y era necesario desplegar una nueva instancia del WAF con cada servidor de la aplicación. Todo ello incrementaba los costes y añadía complejidades para las que no tenían tiempo.


Mejora de la cobertura al tiempo que se mantienen los SLA del sitio


La sólida e innovadora cobertura de seguridad de Signal Sciences asombró a Betterment: permite bloquear cualquier petición maliciosa sin hacer ningún ajuste. Además, Signal Sciences no afecta al rendimiento ni la disponibilidad de la aplicación
ni incrementa la superficie de ataque de Betterment. Gracias a sencillos paneles de visibilidad, cualquier vulnerabilidad detectada se identifica con facilidad y se notifica al departamento correspondiente, que se encarga de corregirla.


Signal Sciences también dio visibilidad al departamento de Operaciones. Tras un análisis rutinario, el WAF detectó varios servicios desconocidos y configuraciones erróneas. Esta información fue clave para que el departamento ajustara el sistema de alertas y corrigiera el comportamiento de la aplicación.


Power Rules personalizables para garantizar la seguridad y el cumplimiento


Además de las funciones de detección preconfiguradas, que bloquean automáticamente cualquier tráfico ilegítimo, Betterment utiliza Power Rules que ayudan a prevenir ataques contra la lógica exclusiva de su aplicación, manteniendo así la seguridad de los datos financieros. Por ejemplo, ahora puede definir, supervisar y bloquear usos indebidos de sus API restringiendo el acceso a ellas según el punto de origen. Para evitar brechas de seguridad en las cuentas de usuario, Betterment también aplica Power Rules específicas frente a ataques ATO a través de los sencillos menús desplegables del panel.


“La alta relación señal-ruido fue clave para decidirnos por Signal Sciences. Gracias a este WAF, el departamento de Informática facilita al de Seguridad datos clave para comprender la actividad maliciosa que afecta a nuestras aplicaciones y realizar un seguimiento de esta. Y, al mismo tiempo, protegemos a nuestros clientes. Después de desplegarlo y configurarlo, no ha habido ningún falso positivo. Esto ha reducido la carga de trabajo del equipo de Seguridad. Además, la experiencia de usuario es muy positiva. Por último, la función del WAF que permite configurar y editar reglas aporta enormes ventajas en un contexto en el que las amenazas no dejan de evolucionar: podemos detectar nuevo.”

Anson Gomes


Lead Security Engineer













“Funciona sin necesidad de cambiar ningún ajuste, cuenta con escalabilidad automática y ofrece una gran visibilidad, manteniendo el nivel de seguridad de la aplicación en todo momento.”

Anson Gomes


Lead Security Engineer