Hallo! Welche Rolle und welche Verantwortlichkeiten hast du?
Ich bin Otto Sulin, Security Lead bei Supermetrics, verantwortlich für alle Security-Belange: von Application Security bis zur Compliance.
Was macht Supermetrics in Ihrer Branche besonders?
Unsere Mission ist es, die Datenanalyse für Marketingfachleute einfacher und vernetzter zu gestalten. Die No-Code-Marketingdatentools von Supermetrics erleichtern das Bearbeiten, Mischen, Anreichern, Aktivieren und Speichern von Daten aus mehreren Quellen. Wir bedienen über 200.000 Kunden, von kleinen Unternehmen bis hin zu den größten globalen Konzernen.
Welchen Zweck sollte Sicherheit in Ihrer Branche erfüllen?
Unsere Kunden vertrauen uns ihre kritischen Kundendaten an. Sie autorisieren uns, ihre Marketingdaten abzurufen und zu speichern, und dieser Zugriff ist mit hohen Erwartungen an Sicherheit und Datenschutz verbunden.
Welchen Druck üben Kunden auf Ihre Sicherheits- und Compliance-Programme aus?
Sehr umfassend, kurz gesagt. Von uns wird ein umfassendes Sicherheitsprogramm erwartet, mit externen Audits, Penetrationstests durch Dritte und klar definierten SDLC-Sicherheitskontrollen. Kunden sind heute bewusster und anspruchsvoller denn je, wenn es um Softwaresicherheit geht.
Gab es einen Moment, der einen strategischeren Fokus auf Sicherheit ausgelöst hat?
Definitiv. Als wir in den Bereich großer Unternehmen expandierten, hatten diese Kunden höhere Erwartungen. Dieses Wachstum führte zu unseren erhöhten Investitionen in die Sicherheitsreife.
Wie fügte sich die Entscheidung, nach Aikido zu suchen, in Ihre übergeordnete Strategie ein?
Die Entscheidung für Aikido war Teil einer umfassenderen Initiative zur Verbesserung unseres sicheren Software Development Lifecycle. Sie umfasste zusätzliche Schulungen, ein Security Champions Programm und vieles mehr.
Vor Aikido nutzten wir eine Sammlung von Open-Source-Tools zusammen mit einigen kommerziellen Produkten. Wir wollten die Dinge vereinfachen und eine Lösung finden, die die Sicherheit über den gesamten SDLC hinweg einfacher und konsistenter macht.
„Die Entwickelnden-Freundlichkeit und die Rauschreduzierungsfunktionen von Aikido stachen sofort hervor.“
Was ist bei der Evaluierung von Aikido besonders aufgefallen?
Entwickelnden-Freundlichkeit und Funktionen, die zur Rauschreduzierung beitragen. Unser Ziel war es, Produktteams zu stärken, und Aikidos viele Funktionen, die unnötiges Rauschen aus Findings reduzieren, kombiniert mit einer UI, die die Navigation und Arbeit mit Findings vereinfacht, waren das, was uns wirklich überzeugt hat.
Wie einfach war die Integration von Aikido in Ihre Entwickelnden-Workflows?
Die Integration von Aikido in unsere bestehenden Tools war ein Kinderspiel. Es unterstützte all unsere Plattformen sofort, und die Einrichtung dauerte nur wenige Minuten. Keine Reibungspunkte.
Wie war Ihre Erfahrung bei der Zusammenarbeit mit dem Aikido-Team?
Schnelle Reaktion und Transparenz. Wann immer wir auf ein Problem gestoßen sind, haben wir noch am selben Tag eine Antwort erhalten; und mehr als einmal wurde ein Fix noch am selben Tag ausgeliefert.
Was ist Ihr Lieblings-Feature?
Rauschreduzierung, ohne Zweifel. Mein Ziel ist es, die Zeit zu minimieren, die unsere Engineers mit der Verwaltung von Schwachstellen verbringen, und Aikido hilft uns genau dabei. Wir haben bisher eine 75%ige Rauschreduzierung durch den Einsatz von Aikido festgestellt.
„Wir haben eine 75%ige Rauschreduzierung durch den Einsatz von Aikido festgestellt.“
Können Sie uns etwas mehr darüber erzählen, wie Aikido in Ihren SDLC eingebettet ist?
Aikido integriert sich direkt in unsere CI/CD, Jira und Slack. Bei bestätigten Problemen können wir schnell Jira-Tickets erstellen, und Slack-Benachrichtigungen informieren die richtigen Teams basierend auf Repositories. Es ist einfach, transparent und hält alle auf dem gleichen Stand.
Wie hat Aikido die Herangehensweise von Supermetrics an Sicherheit und Schwachstellenmanagement verändert?
Es hat uns geholfen, wichtige Sicherheits-Workflows zu zentralisieren und zu automatisieren. Ingenieure können sich auf die Entwicklung konzentrieren, während wir die volle Transparenz und Kontrolle über unsere Repositories und Images behalten.
Gab es Momente, in denen Aikido Ihrem Team Zeit gespart oder das Risiko reduziert hat?
Das Monitoring von Open-Source-Malware hat uns enorm viel Zeit gespart. Vor Aikido haben wir Berichte manuell durchsucht, um riskante Pakete zu finden, und dann unsere Repositories durchsucht, um festzustellen, ob wir betroffen waren. Jetzt ist es vollständig automatisiert und wesentlich weniger fehleranfällig.
Wie unterstützt Aikido die Anforderungen an Regulierung und Datenschutz?
Der breite Funktionsumfang von Aikido stellt sicher, dass alle Scans aktiviert sind und die Einhaltung der Richtlinien (Policy Compliance) einfach zu überprüfen ist. Es gibt uns die Gewissheit, dass wir jederzeit für Audits bereit sind und die Versprechen, die wir unseren Kunden geben, einhalten.
Wie würden Sie die Auswirkungen von Aikido zusammenfassen?
Die Benutzerfreundlichkeit, der Funktionsumfang und die Rauschunterdrückungsfunktionen von Aikido machen die Skalierung eines Produktsicherheitsprogramms zum Kinderspiel.
Die Zusammenfassung
Supermetrics nutzt jetzt einen Entwickelnden-zentrierten AppSec-Workflow, der schneller, sauberer und einfacher zu verwalten ist. Mit 75 % weniger Rauschen, sofortigen Integrationen und Automatisierung über Jira, Slack und CI/CD hinweg skaliert die Sicherheit jetzt so reibungslos wie ihre Datenoperationen.
