Como a Apheris substituiu ferramentas de segurança fragmentadas em menos de uma semana

Olá Alejandro! O que é que o Apheris faz e qual é o teu papel?

A Apheris fornece redes federadas de dados de ciências da vida, abordando o desafio crítico de aceder a dados proprietários bloqueados em silos devido a preocupações com a propriedade intelectual e a privacidade. O nosso produto é uma infraestrutura de computação federada com controlos de governação, segurança e privacidade, permitindo que as organizações de ciências da vida treinem de forma colaborativa modelos de maior qualidade em dados complementares de várias partes. Somos uma equipa relativamente pequena (cerca de 25 engenheiros), o que nos permite manter a agilidade, experimentar coisas novas e ser os primeiros a adotar tecnologias como o Aikido.

Chamo-me Alejandro e estou a liderar a segurança, privacidade e TI na Apheris. Com mais de 12 anos na área, passei de grandes organizações como a Cisco, a Rackspace e a Auth0 para o mundo das startups, onde construo programas de segurança, privacidade e conformidade (e as equipas por detrás deles) a partir do zero. O meu foco abrange segurança na nuvem e em aplicações, infraestrutura como código, automação e manutenção de sistemas resilientes e dados privados.

Estou sediado na solarenga Alicante, em Espanha. Quando o tempo permite, ainda gosto de pôr a mão na massa: escrever código, ajustar detecções e criar ferramentas internas. Ultimamente, tenho mergulhado na IA e na automação, introduzindo agentes amigáveis à governança para simplificar os fluxos de trabalho de segurança e TI e tornar nossa pilha um pouco mais inteligente (e muito mais eficiente).

Qual é a dimensão do desafio de segurança quando se trabalha com clientes do sector farmacêutico?

É enorme e tem razão de ser. Lidamos com dados sensíveis, pelo que a segurança não é apenas uma boa prática, é um requisito para fazer negócio. Para vos dar um exemplo: Para um negócio empresarial, um cliente exigiu que passássemos quatro testes de penetração independentes antes de o assinarmos. Foram mais de 100 mil euros gastos por eles só para iniciar a conversa. Também criámos um centro de confiança para que os nossos clientes ou potenciais clientes possam analisar toda a nossa postura interna em matéria de privacidade, segurança e conformidade. Isto também ajuda os nossos clientes a simplificar e a reduzir o tempo de resposta numa ordem de grandeza para as suas análises de fornecedores e avaliações de conformidade.

"Nunca tinha visto este nível de controlo antes de assinar um contrato. Não há lugar para atalhos".

Integrámos a privacidade e a segurança no nosso produto e nos nossos processos desde o primeiro dia. Trazemos o nosso produto para os dados, e não o contrário. O nosso sistema de formação de modelos federados é executado na infraestrutura do cliente, como a sua conta AWS, pelo que os dados não precisam de ser movidos. Esta configuração mantém a conformidade, preserva a privacidade e alinha-se com a forma como os clientes do sector farmacêutico esperam que os seus dados sejam tratados. Estamos em conformidade com a ISO 27001, SOC 2 Tipo I e II e GDPR. A segurança e a privacidade não são uma reflexão tardia, são fundamentais para o nosso negócio. 

Que desafios enfrentou antes de mudar para o Aikido?

Nossa configuração era fragmentada e carecia de centralização. Contávamos com uma mistura de ferramentas de código aberto para varredura secreta: soluções proprietárias como Snyk para segurança container e gerenciamento de dependências, e Detectify para varredura de aplicativos da Web. Cada ferramenta servia um propósito, mas a falta de coesão significava que tínhamos que gastar um esforço significativo para manter tudo unido com muita fita adesiva e graxa de cotovelo (risos).

A adoção do Aikido ajudou a consolidar vários destes esforços num produto único e mais unificado, reduzindo o atrito para a equipa. Embora não seja uma solução milagrosa, tornou-se uma peça importante numa estratégia de segurança mais alargada que ainda inclui outras ferramentas e processos que valorizamos.

"Tínhamos a sobrecarga de uma pequena equipa que mantinha várias ferramentas de código aberto. Era uma chatice".

Cada ferramenta vivia no seu próprio silo. Era difícil gerir as configurações entre repositórios e ainda mais difícil obter uma visão agregada da nossa postura de segurança. A varredura secreta era barulhenta. Os resultados do scan Container não eram acionáveis. E, no geral, a carga de manutenção estava a aumentar à medida que tínhamos mais repositórios para analisar. Era difícil agir com base nos resultados do Snyk, especialmente para engenheiros que precisavam conhecer diferentes ferramentas e interagir com elas de diferentes maneiras. Mesmo com a nossa infraestrutura Github como código, manter estas ferramentas actualizadas e funcionais tornou-se uma perda de tempo.

"Se eu, como engenheiro de segurança, tiver de perder tempo a decifrar descobertas, como posso esperar que os nossos engenheiros actuem sobre elas? Eles vão simplesmente ignorá-las".

O que o levou a escolher o Aikido?

Queríamos uma plataforma que nos desse visibilidade, reduzisse o ruído e que não necessitasse de uma pessoa a tempo inteiro para tomar conta dela.

O Aikido cobre muitas das nossas necessidades logo à partida. Muitas das ferramentas de código aberto que já estávamos a utilizar foram integradas na plataforma, o que tornou as coisas familiares e reduziu as nossas despesas de migração. Graças à nossa abordagem de configuração como código no GitHub, conseguimos implementá-lo nos repositórios em apenas alguns dias, muito mais depressa do que inicialmente previsto.

É claro que nenhuma implementação é verdadeiramente fácil. Ainda tivemos de validar as nossas condutas e verificar novamente se a cobertura correspondia às nossas expectativas. Mas, de um modo geral, o Aikido ajudou-nos a acelerar o processo e a reduzir o peso operacional de juntar as coisas manualmente. Agora é uma parte sólida das nossas ferramentas de segurança mais amplas, embora (como acontece com qualquer fornecedor) avaliemos e monitorizemos continuamente o seu papel no nosso modelo de ameaças.

"Com base na experiência anterior, esperávamos uma transição lenta. Em vez disso, migrámos tudo numa semana, sem perturbar ninguém."

O que é que mudou depois do lançamento do Aikido?

A diferença é noite e dia. A segurança tornou-se invisível para a maioria dos programadores, e isso é bom. 

O Aikido tornou mais fácil para os engenheiros verem e resolverem os problemas sem terem de voltar a colocar questões à equipa de segurança. Cada repositório tem informações relevantes e acionáveis. É fácil para os engenheiros resolverem os problemas sem precisarem que eu traduza os relatórios de segurança para eles. Sem adivinhações. Sem PDFs para interpretar. As integrações em solicitações pull e também em IDEs são fantásticas.

Que caraterística teve o maior impacto para si?

Se tivesse de escolher um, seria o relatório de comparação de equipas. Dá-nos uma excelente perspetiva sobre o desempenho das diferentes equipas, e até publicamos o relatório no Slack. Não se trata de competição, por si só, mas definitivamente gamifica a segurança de uma forma saudável.

Dito isto, o AutoFix é também um destaque. Não apenas pelo que faz, mas pela rapidez com que a equipa Aikido agiu de acordo com o nosso feedback. No início, nossos padrões de PR impediram que o Autofix funcionasse corretamente, pois exigimos padrões rígidos de pull request, como título de PR ou mensagens de commit. Em poucas semanas, a equipa adicionou suporte para a nossa configuração específica.

Viemos de soluções empresariais que não respondem às reacções dos clientes (uma vez que somos uma pequena loja), requerem bilhetes de apoio de longa duração, mesmo para questões menores, e só se tem notícias dos gestores de conta pouco antes do ciclo de renovação.

"A equipa recebeu os nossos comentários e enviou uma correção no espaço de semanas. Esse tipo de capacidade de resposta é importante."

E se tivesse de resumir o Aikido numa frase?

"Aikido é a tranquilidade de saber que as suas responsabilidades de segurança estão cobertas, para que os nossos engenheiros se possam concentrar no envio sem compromissos."

‍