Sesión de preguntas y respuestas con un ingeniero de ciberseguridad de MetroNet.

Si eres ingeniero de ciberseguridad, conoces bien esa sensación. Te contratan para buscar amenazas, reforzar la infraestructura y diseñar sistemas seguros. Pero, con frecuencia, te encuentras atrapado en el "bucle manual": procesando solicitudes de acceso, supervisando intentos de phishing y haciendo clic en botones de una interfaz que te mantiene confinado.

Cameron Vincent, ingeniero de ciberseguridad en Metronet, conoce bien esta realidad. Gestionar una vasta infraestructura de internet de fibra óptica requiere un equipo que pueda actuar con rapidez, pero los procesos manuales amenazaban con frenar el ritmo de su equipo.

El siguiente blog, en formato de preguntas y respuestas, destaca cómo superó la mera "pulsación de botones" y transformó su SOC en una plataforma para la innovación en ingeniería, impulsando la eficiencia operativa.

Su equipo administra una vasta red para un importante proveedor de servicios de Internet. ¿Cuál era su realidad operativa antes de implementar este nivel de automatización?

La sostenibilidad era una lucha constante. Nuestro entorno es inmenso y, sin automatización, el enorme volumen de horas de trabajo manual necesarias para mantener la visibilidad y la higiene básicas en nuestros sistemas EDR, de gestión de vulnerabilidades y SIEM habría sido imposible.

Estábamos abrumados por la cantidad de clics manuales y la introducción de datos. Cada vez que llegaba una tarea, ya fuera una alerta de phishing o una solicitud de aprovisionamiento de usuarios, era necesario que alguien tocara el teclado y transfiriera datos de un sistema a otro. No solo era tedioso, sino que consumía muchísimos recursos y nos impedía tener una visión más amplia de la seguridad.

¿Cómo utiliza Metronet Swimlane en sus operaciones de seguridad diarias?

Swimlane recopila alertas de todas nuestras herramientas: desde EDR y gestión de vulnerabilidades hasta nuestro SIEM, centralizándolas en una única plataforma. Mi equipo, que ha crecido de cuatro a nueve personas, depende de ella para obtener las métricas que necesitamos. Sin automatización, las horas de trabajo necesarias para mantener este nivel de visibilidad serían insostenibles.

En concreto, lo utilizamos para dos iniciativas principales:

1. Triaje de phishing: Hemos añadido scripts personalizados para adaptar el proceso de triaje exactamente a nuestras necesidades.
2. Incorporación de empleados: Ayudamos a nuestro equipo de RRHH automatizando la creación de cuentas en Active Directory y Oracle Data Warehouse, y asignando identificadores de credenciales.

¿Cómo ha impactado la automatización del proceso de incorporación de personal de RR. HH. en las operaciones diarias de su equipo?

Eso supuso un gran logro para nosotros. Anteriormente, un miembro sénior del equipo con amplia experiencia en redes tenía que dedicar un mínimo de seis horas semanales a introducir datos y realizar clics manualmente solo para procesar las nuevas contrataciones.

Al automatizar este proceso, hemos reducido esa tarea a unos 10 minutos de revisión ligera. Hemos eliminado eficazmente la monotonía del proceso, lo que permite al ingeniero centrarse en análisis de alto valor en lugar de tareas administrativas.

¿Qué diferencia a Swimlane de otras herramientas de automatización que hayas visto?

La principal diferencia radica en la personalización. Si Swimlane no cuenta con un conector nativo para alguna función que necesitamos, no me siento limitado. Puedo escribir un script de Python o desarrollarlo yo mismo. Con otras herramientas, a menudo te encuentras con limitaciones que te obligan a usar únicamente lo que la plataforma permite explícitamente. Swimlane no te encasilla. Te ofrece un puente entre ser un principiante que crea playbooks y un experto que implementa scripts personalizados complejos.

¿Cuál ha sido su experiencia con la transición de la plataforma Swimlane anterior a la plataforma Turbine?

Todo ha ido de maravilla. Nuestra transición fue particular porque estábamos en pleno proceso de adquisición mientras migramos, así que tuvimos que actuar con mucha cautela. Un agradecimiento especial al Director de Experiencia del Cliente, quien, por su gran ayuda, nos integró en Turbine para nuestros flujos de trabajo de análisis de phishing y nos mostró funciones que ni siquiera sabíamos que necesitábamos.

¿Cuál es tu función favorita en Swimlane Turbine?

Es un empate entre Lienzo de turbina y integraciones autónomas. El creador de playbooks de Swimlan Canvas es muy intuitivo, incluso los miembros del equipo que no tienen conocimientos de programación pueden crear playbooks fácilmente.

Ellos pueden darme la base, y yo solo les ayudo con la lógica compleja. El número de integraciones disponibles en el Mercado Swimlane Hace que las integraciones parezcan perfectas.

En lo que respecta a la IA, ¿cuáles son los criterios específicos que busca antes de confiar en ella para su flujo de trabajo?

En general, soy cauteloso con la IA porque es una tecnología emergente con vulnerabilidades potenciales. Cuando analizo la IA, no busco un "botón mágico". A diferencia de otras herramientas que nos vemos obligados a usar, busco tres cosas: confianza, localización de datos y utilidad medible. Nuestros datos ya están en Swimlane y tenemos una relación establecida y de confianza con su equipo. Actualmente estoy analizando cómo podemos usar Héroe IA Para reducir aún más las tareas manuales necesarias para la clasificación de ataques de phishing, entrenando el sistema con nuestros datos existentes y confiables. Para mí, no se trata de exageraciones, sino de reducir el ruido utilizando los datos que ya poseemos.

¿Recomendarías Swimlane a tus compañeros?

Por supuesto. Si desea automatizar de forma segura, rápida y frecuente, necesita una plataforma que no solo funcione hoy, sino que también sea fiable mañana. Tanto si está empezando a explorar la automatización como si es un experto que busca crear flujos de trabajo complejos y personalizados, Swimlane le ofrece la flexibilidad necesaria para lograrlo.