O blog da AWS

Como a Mobi7 aumentou em 41% a taxa de adoção aos padrões do AWS Security Hub

Por Paulo Born, Tech Manager na Mobi7; William Amaral, Consultor em Arquitetura em TI na Mobi7; Luiz Moreira, Technical Account Manager na AWS; e Danilo Silveira, Arquiteto de Soluções Sênior na AWS.

A Mobi7 Localiza é uma plataforma de gestão de frotas e serviços de dados automotivos. Fundada em 2017, a empresa já iniciou operações com a estrutura de serviços da AWS. Em 2020, a Mobi7 tornou-se parte da Localiza&Co. A plataforma aumentou sua base de veículos monitorados de 8.000, em 2017, para mais de 430.000 em 2024, expandindo seus negócios por toda a América Latina.

Desafios

Segurança sempre foi uma preocupação na Mobi7, que desde o início de suas operações trabalha na detecção e correção proativa de falhas de segurança. Ao longo dos anos, com o crescimento substancial do número de veículos monitorados pela plataforma e do número de aplicações desenvolvidas na AWS, o time Mobi7 entendeu que era necessário implementar uma solução que consolidasse o acesso ao console AWS, as configurações de rede da infraestrutura implantada e a obsolescência dos pacotes de sistemas operacionais dos contêineres em execução no ambiente em uma visão unificada, que permitisse ao time de operações uma forma rápida de detecção de eventuais problemas de segurança.

Inicialmente, o time Mobi7 avaliou opções que combinavam soluções de diferentes empresas de consultoria em segurança, com o objetivo de fornecer um panorama completo dos problemas detectados. Entretanto, tais soluções não contemplavam, por exemplo, acesso externo a terceiros, gestão segregada do detalhamento das falhas detectadas ou integração com a ferramenta utilizada no pipeline de desenvolvimento de aplicações responsável pela varredura baseada nos padrões do OWASP (Open Worldwide Application Security Project). Não menos importante, as opções avaliadas apresentaram um alto custo de implementação, além de, em sua maioria, serem uma replicação do Amazon GuardDuty, serviço nativo da AWS para detecção de ameaças no ambiente.

Decisão

Postos os desafios, o time Mobi7 se viu entre as opções de continuar sua busca por uma solução que fornecesse uma visão da segurança do ambiente AWS e que indicasse a postura de segurança considerando a infraestrutura implantada, ou desenvolver internamente esta solução. A Mobi7 decidiu, então, por aprofundar o conhecimento do time no AWS Security Hub, serviço de gerenciamento do procedimento de segurança na nuvem (CSPM). O AWS Security Hub executa suas próprias verificações de práticas recomendadas de segurança baseadas em frameworks de padrão de mercado e permite a integração tanto com serviços de segurança nativos da AWS quanto com serviços de parceiros. Ele centraliza em uma visão unificada os resultados das verificações fornecendo o nível de gravidade de cada problema encontrado, além de gerar uma medida para a postura de segurança padronizada a partir das verificações realizadas e possibilitar ações mitigatórias automatizadas sobre os resultados encontrados. Como o AWS Security Hub é um serviço nativo da AWS que atendia aos requisitos da solução procurada ao centralizar os resultados de suas próprias verificações de segurança e permitir a integração com os resultados encontrados pela varredura com base no OWASP já integrada no pipeline de desenvolvimento, a decisão tomada foi a de utilizar o AWS Security Hub como parte programa de segurança da Mobi7.

Ativação

Primeiramente, o AWS Security Hub foi ativado e o ambiente foi verificado considerando os dois principais frameworks de segurança disponíveis no serviço. O resultado inicial da postura de segurança – abaixo de 50% – indicou claramente necessidade de melhorias. Entretanto, definir a métrica alvo de melhoria dependia da capacidade do time em tratar os problemas encontrados. Assim, foi realizada uma análise de todos os problemas detectados considerando-se o nível de gravidade de cada um, com o intuito de medir a carga de trabalho associada às ações de mitigação. As atividades de mitigação foram agrupadas em três categorias de grau de dificuldade:

  • Fácil: Atividade cuja execução era rápida e com baixo impacto no ambiente produtivo. Por exemplo, habilitar a criptografia ou remover acesso público a buckets do Amazon S3.
  • Média: Atividade cuja análise e avaliação de impacto levaria mais do que alguns minutos. Nestes casos, haveria necessidade de envolvimento de outras equipes ou pessoas com uma perspectiva de produto para a realização de testes. Por exemplo, bloquear portas de comunicação abertas nos Security Groups, reavaliar a configuração de um web application firewall (WAF) ou de um balanceador de carga.
  • Complexa: Atividade que envolveria a adaptação de uma aplicação, demandando da equipe responsável pelo produto priorização e implementação de novas funcionalidades. Por exemplo, habilitar a criptografia ou atualizar a versão de um banco de dados.

Muitas das atividades foram classificas como fáceis e os problemas associados foram rapidamente resolvidos. Após a avaliação do todo, o time entendeu que uma métrica factível seria buscar uma melhoria de 39% na postura de segurança.

Implementação

Após a primeira análise, um plano de ação foi comunicado às equipes e partes interessadas. Como parte do plano, as equipes foram educadas quanto a importância do tema segurança, além de serem tecnicamente capacitadas para utilizar o AWS Security Hub como ferramenta de auxílio de mitigações de segurança em seus produtos e aplicações. O maior desafio encontrado foi garantir que os times iriam priorizar a resolução dos problemas de segurança reportados no AWS Security Hub frente à implementação de novas funcionalidades em seus produtos e aplicações. Neste contexto, o apoio da liderança executiva ao ressaltar a importância da iniciativa, foi fundamental para seu sucesso. Em relação à capacitação das equipes envolvidas, foram realizados 3 workshops. O primeiro, conduzido pelo Technical Account Manager (TAM) da AWS, teve como objetivo fornecer uma visão geral do AWS Security Hub. Os dois workshops subsequentes, conduzidos por um Arquiteto AWS especialista em segurança, tiveram como objetivo responder aos questionamentos dos times da Mobi7 à medida utilizavam o AWS Security Hub e aplicavam as ações mitigatórias. Como desdobramento do terceiro workshop, foi estabelecida uma agenda semanal entre os times envolvidos no plano de ação e a AWS, onde era possível responder a novas dúvidas, compartilhar eventuais dificuldades técnicas e garantir o plano de execução estava caminhando adequadamente.

Para garantir a continuidade da iniciativa, foi implementada uma política que exigia a conformidade de todos os recursos associados aos produtos e suas aplicações com os padrões e melhores práticas de segurança do AWS Security Hub. Para mensurar a evolução da postura de segurança, foram implementados três processos:

  • Pipeline de infraestrutura: pipeline desenvolvido para promover as mudanças dos recursos em todos os ambientes até a produção. Dentro deste pipeline, foi incluída uma etapa de validações de segurança de forma a evitar que qualquer recurso fora de conformidade fosse implantado.
  • Verificação diária do processo: processo em que a equipe de segurança verifica diariamente todos os novos recursos e avalia se há alguma mudança que diminua a postura de segurança. Quando um recurso deste tipo é identificado, revisões e mudanças de configuração são aplicadas para adequar o recurso às melhores práticas de segurança estabelecidas.
  • Gestão distribuída: todas as equipes são responsáveis por manter as aplicações seguras. Para garantir o sucesso e adesão ao processo, a equipe de segurança deve estar sempre disponível para suportar os times de desenvolvimento. Para evitar um mecanismo reativo, que eventualmente venha a tornar a equipe de segurança um gargalo, o time se faz presente diariamente no desenvolvimento dos produtos.

Após muitas mudanças e adaptações nos processos, a postura de segurança passou a crescer. Particularmente depois que foram implementadas automatizações no monitoramento dos recursos AWS com o AWS Security Hub enviando notificações para a tomada de ações mitigatórias sempre que um novo problema de segurança fosse detectado.

Resultados

Em meio a um crescimento da ordem de dezenas para centenas no número de instâncias Amazon EC2 e serviços gerenciados AWS, foram necessários 4 meses para alcançar a meta de 39% de melhoria na postura de segurança do AWS Security Hub. Este resultado foi possível principalmente pela utilização de infraestrutura como código (IaC — Infrastructure as a Code), que permitiu a rápida adequação e reimplantação de recursos AWS. Outro fator importante, foi a priorização das ações sobre alarmes que envolviam poucos recursos AWS. Esta estratégia foi realizada no mês de março, proporcionando um rápido crescimento do indicador de segurança nos meses subsequentes.

Figura 1 - Crescimento de Score do Security Hub

Figura 1 – Crescimento da Pontuação de Segurança no AWS Security Hub

Após a implementação dos processos, foram mapeados vários benefícios com a utilização do AWS Security Hub. Primeiramente, o serviço ajudou a identificar e resolver problemas de segurança do ambiente AWS da Mobi7 de forma mais eficiente. Além disso, possibilitou estabelecer a conformidade dos recursos utilizados em produtos e aplicações com os padrões e melhores práticas de segurança da AWS. E, finalmente, possibilitou automatizar o monitoramento da implantação e reconfiguração de serviços, reduzindo consideravelmente o risco de incidentes de segurança.

Um fator essencial para o sucesso da iniciativa foi a cultura DevOps implantada na Mobi7, onde as equipes de desenvolvimento são comprometidas e engajadas com a evolução da utilização de nuvem. Este aspecto permite criar uma cultura adaptável e, neste caso, focada em segurança, que incentiva um tratamento proativo das medidas e avaliações regulares de segurança.

Conclusão

A Mobi7 continua a manter uma alta taxa de adoção do AWS Security Hub, implementando uma abordagem multifacetada que inclui avaliação de segurança, treinamento, recursos, aplicação de políticas e automação de processos. O AWS Security Hub ajudou a Mobi7 a melhorar sua postura de segurança, aumentou a conformidade de seus produtos e aplicações em relação aos padrões e melhores práticas do mercado e habilitou a automatização do monitoramento de recursos. O time Mobi7 confia que o AWS Security Hub continuará a ser uma parte importante do programa de segurança da companhia no futuro.

Sobre os Autores

Paulo Born Paulo Born está como Tech Manager na Mobi7, com mais de 14 anos de experiência em tecnologia. Hoje, trabalha com soluções de IoT para frotas de veículos leve ajudando a construir soluções que proporcionem uma mobilidade mais eficiente e segura.

William Amaral William Amaral é Consultor em Arquitetura em TI, com mais de 20 anos de experiência em tecnologia, sendo 15 delas em infraestrutura e desenvolvimento de software em soluções de IoT para gestão de frotas veiculares.

Luiz Moreira Luiz Moreira é Technical Account Manager da AWS auxiliando clientes em sua jornada de nuvem. Possui mais de 20 anos de experiência em tecnologia nas áreas de infraestrutura, como computação, rede e armazenamento e nos últimos 12 anos vem se dedicando na especialização em Segurança.

Danilo Silveira Danilo Silveira é Arquiteto de Soluções Sênior na AWS, com mais de 20 anos de experiência em TI. Hoje, trabalha com os clientes da AWS apoiando na jornada de adoção da nuvem e transformação com a construção de aplicações modernas seguindo as melhores práticas da AWS.

Sobre o revisor

Antônio Maia Dr. Antonio Maia é Arquiteto de Soluções na AWS com mais de 15 anos de experiência em TI. Tem contribuições de pesquisa e desenvolvimento nas áreas de Segurança e Internet das Coisas, envolvendo principalmente protocolos criptográficos para autenticação e autorização de dispositivos em IoT. Hoje, atua com as indústrias Automotiva e de Manufatura em suas jornadas de transformação e inovação através da nuvem AWS.