Preguntas y respuestas con el director de operaciones de Thetabyte

La misión de modernizar un Centro de Operaciones de Seguridad (SOC) rara vez es simple, pero cuando el cliente es el Corporación Nacional del Petróleo de Nigeria (NNPC), lo que está en juego es exponencial. Por eso, NNPC contrató Thetabyte, un proveedor de servicios de ciberseguridad especializado y centrado en la transformación de SOC empresariales a gran escala, para liderar este proyecto fundamental.

NNPC es la corporación petrolera estatal de Nigeria y una de las mayores empresas energéticas de África. Sus operaciones son cruciales y sustentan gran parte de la economía, los ingresos públicos y las divisas de Nigeria. Su entorno presentaba grandes desafíos debido a su gran escala, importancia nacional, estrictos requisitos regulatorios y la necesidad de integrar infraestructuras heredadas diversas.

Hablé con Ron Maman, director de operaciones de Thetabyte, quien dirigió la implementación del Turbina de carriles de natación IA agente Plataforma de automatización en NNPC. Ron comparte la historia detrás de escena de cómo esta solución permitió a NNPC superar la fatiga de alertas, alcanzar estrictos objetivos de cumplimiento normativo y reducir significativamente los tiempos de respuesta a incidentes en su diversa infraestructura.

Continúe leyendo para ver un resumen en formato de preguntas y respuestas de mi conversación con Ron, donde detalla la experiencia de Thetabyte con Swimlane Turbine.

¿Qué desafíos específicos enfrentó NNPC que impulsaron la necesidad crítica de automatización de la IA?

La NNPC se enfrentaba a tres desafíos principales:

• fatiga de alerta
• conjuntos de herramientas fragmentados, 
• falta de visibilidad centralizada en todas sus operaciones de seguridad. 

Los procesos manuales ralentizaban constantemente la respuesta a incidentes, y los analistas se veían abrumados por tareas repetitivas y de baja prioridad. Además, no podían correlacionar de forma fiable las fuentes de inteligencia de amenazas con sus alertas SIEM existentes. Esta falta de conexión generaba importantes puntos ciegos en la detección de amenazas.

¿Por qué eligió Swimlane Turbine en lugar de otras soluciones competitivas?

Evaluamos varias plataformas. Las plataformas competidoras simplemente carecían de la flexibilidad visual y de arrastrar y soltar para crear playbooks complejos y personalizados que encontramos en Turbine. Lienzo de turbina La interfaz de código bajo/sin código y el diseño de libro de estrategias modular brindan la forma más fácil y efectiva de crear y gestionar la automatización. 

El generador de playbooks de bajo código, junto con su perfecta integración de API con prácticamente cualquier herramienta, lo convirtió en la opción ideal. También era vital que la plataforma pudiera dar soporte a analistas de todos los niveles (del 1 al 3) con playbooks personalizados, algo que Turbine gestiona excepcionalmente bien.

Leer el estudio de caso

¿Qué características estás aprovechando más en Turbine?

Nuestras características favoritas en Turbine son Lienzo y paneles de control e informes.

• Canvas permite la creación rápida de prototipos y la implementación de playbooks complejos sin necesidad de conocimientos avanzados de programación. Esto acelera significativamente nuestra capacidad para implementar nuevas automatizaciones.
• Los paneles de control en tiempo real y los informes mejorados con IA proporcionan métricas e indicadores clave de rendimiento (KPI) en tiempo real, claramente presentados tanto a nuestros analistas técnicos del SOC como a los directivos de NNPC. Resultan fundamentales para demostrar el retorno de la inversión (ROI) y mantener la visibilidad.

¿Qué herramientas has integrado con Turbine?

Swimlane nos facilitó la conexión de todas las herramientas de la pila de seguridad de NNPC con un solo clic a través de Mercado Swimlane. Los principales son:

• Jira: Elástico:Ingesta de alertas de datos SIEM y triaje automatizado
  
• VirusTotal: Enriquecimiento de inteligencia de amenazas en tiempo real
  
• Jira:Facilita la creación y el seguimiento automatizados de tickets para transferencias fluidas al SOC
  
• Herramienta de inteligencia de amenazas patentada: gracias a que cuenta con una API, pudimos integrarla dentro de Turbine y obtener un enriquecimiento y un contexto integrales y en tiempo real para las alertas.

¿Cuáles son los casos de uso para los que utiliza Turbine?

Nos centramos en dos casos de uso clave de alto impacto dentro del entorno NNPC

1. Triaje y enriquecimiento automatizado de incidentes
   Tras la ingesta de alertas SIEM, Turbine inicia inmediatamente estrategias de enriquecimiento automatizadas. Esto implica consultar datos externos. Inteligencia sobre amenazas Se alimenta de Indicadores de Compromiso (IOC) maliciosos conocidos y realiza búsquedas en bases de datos internas de activos para identificar al propietario afectado, la criticidad del sistema y su ubicación. Esto proporciona a los analistas un paquete de alertas totalmente contextualizado y de alta fidelidad al instante.
2. Contención y remediación de amenazas
   Desde los paneles de control de Turbine, los analistas tienen visibilidad completa de funciones automatizadas como la identificación de IOC, la correlación de datos y la ejecución de acciones de remediación, incluyendo el bloqueo de tráfico malicioso directamente en el firewall perimetral. Los analistas tienen control total sobre el manual de estrategias desde una sola pantalla, lo que les permite ejecutar rápidamente las acciones de contención y defensa necesarias, como la inclusión de IP en listas negras, sin tener que cambiar de herramientas de seguridad ni iniciar sesión manualmente en ellas.

¿Cuál es un ejemplo de un problema que Swimlane ayudó a resolver?

Un desafío importante era la correlación manual de los IOC entre sistemas dispares. Antes de Swimlane, los analistas tenían que alternar manualmente entre SIEM, EDR, y registros del firewall.

Con Swimlane, implementamos la correlación IOC automatizada en todos los sistemas, reduciendo el tiempo promedio de investigación de 45 minutos a menos de 10 minutos por alerta.

¿Alguna vez has tenido una situación en la que Turbine evitó un compromiso importante?

Tuvimos una campaña de malware dirigida a empleados de NNPC. Turbine nos permitió detectar y aislar la amenaza en menos de 5 minutos, previniendo con éxito cualquier ataque a usuarios.

¿Qué resultados ha logrado desde la implementación de Turbine?

En los primeros tres meses, logramos el importante objetivo de automatizar más de 60% de nuestro triaje de Nivel 1. Ese logro alivió de inmediato la presión sobre nuestros analistas generales.

Desde que implementamos Turbine, vimos un salto enorme en la eficiencia de nuestro SOC:

• Nuestro tiempo de respuesta ante incidentes se redujo enormemente en un 70%.
• Nuestro tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) cayeron significativamente.
• La satisfacción laboral de los analistas aumentó inmediatamente, como resultado directo de la reducción de la gran carga de trabajo manual.
• Los registros de auditoría y los informes mejoraron instantáneamente nuestra preparación para el cumplimiento.
  
  

En definitiva, Turbine ofrece a los equipos de seguridad el mayor recurso: la libertad. Como concluye Ron Maman:

“Recomendaría Swimlane a mis colegas porque permite a los equipos de seguridad hacer más con menos. Automatiza las tareas tediosas, acelera la respuesta crítica y da a los analistas la libertad de centrarse en lo más importante.”