DIG transforma la defensa contra el phishing con Swimlane

Fondo

El Grupo de Investigación Digital (DIG) es una startup proveedora de servicios de seguridad gestionados (MSSP) con sede en Montana. Su objetivo es llevar la ciberseguridad a un lugar donde, hasta hace poco, la tecnología no ha sido un enfoque central. El DIG colabora con entidades gubernamentales locales y proveedores de servicios gestionados (MSP) para ayudarles a mejorar su estrategia de ciberseguridad y defenderse de las ciberamenazas.

El jefe forense cibernético de la DIG, Zach Tielking, Como bien dice, “ofrecemos un mayor nivel de seguridad y certificación a estas pequeñas empresas”.

Escasez de personal

A medida que la base de clientes de DIG crecía y su reputación se consolidaba, también lo hacía su necesidad de profesionales cualificados en ciberseguridad. Encontrar expertos cualificados en ciberseguridad era difícil, especialmente en Montana. Incluso ahora, se estima que hay 3,5 millones de puestos vacantes en ciberseguridad en Estados Unidos, un aumento de 350% en los últimos ocho años.

“Hay una gran escasez de personal cualificado, especialmente en Montana. No hay muchos programas que enseñen ciberseguridad aquí. El DIG se dio cuenta de la dificultad de encontrar personal cualificado para proteger a sus clientes e identificó una solución que podría ayudar a cubrir la falta de personal cualificado: la automatización de la seguridad.

“En Montana, como en todas partes, ha habido una necesidad real de profesionales en ciberseguridad. Nos ha resultado muy difícil, al igual que a otras empresas, encontrar a estas personas. Recurrimos a la automatización para mantenernos al día y brindar seguridad a Montana.”

Construyendo una defensa contra el phishing

La responsabilidad de un MSSP es proteger no solo la tecnología y los datos, sino también a quienes los utilizan. Las personas son un objetivo principal de los ciberataques, tanto que el 85% de las infracciones involucran un factor humano. El Centro de Quejas de Delitos en Internet del FBI informa que el phishing es la amenaza más frecuente en Estados Unidos.

Según Tielking, “el phishing sigue siendo el principal vector de ataque. Las personas representan una gran vulnerabilidad en los entornos. Obtener soluciones que nos ayudaran a procesar esos correos electrónicos de phishing con mayor rapidez era lo principal que necesitábamos en la automatización”.”

Los ataques de phishing suelen dirigirse a los correos electrónicos de los empleados, lo que obliga a los equipos de seguridad, como el DIG, a responder con rapidez y analizar miles de correos electrónicos para determinar si constituyen amenazas reales. Esto requiere una revisión y un análisis manuales exhaustivos, lo que consume mucho tiempo y recursos del equipo.

El DIG necesitaba automatizar el proceso de defensa contra el phishing, fundamental para proteger a sus clientes de la pérdida de datos confidenciales. La solución de automatización ganadora debía automatizar el proceso de investigación de correos electrónicos de phishing para que el equipo pudiera evaluar las amenazas con mayor rapidez y actuar antes de que surgieran los problemas.

Automatización versátil en toda la pila de herramientas

Desarrollamos Turbine para el futuro de la automatización. Ofrece una flexibilidad inigualable y un enfoque independiente del entorno para ofrecer mayor valor que las soluciones SOAR tradicionales, la automatización sin código o una combinación de soluciones SIEM y XDR. Cuatro tecnologías únicas distinguen a Turbine.

Los MSSP atienden a una amplia gama de clientes, cada uno con sus propias necesidades y aplicaciones empresariales. Una solución de automatización de la seguridad debe ser versátil y personalizable para adaptarse a las complejas necesidades de los MSSP y sus clientes, tanto actuales como futuras. Esto implica evitar la dependencia de proveedores específicos y las limitaciones de integración. Los MSSP también necesitan ahorrar tiempo en tareas rutinarias y repetitivas, por lo que una plataforma de automatización debe ser fácil de integrar en la infraestructura existente. Como parte fundamental de las operaciones de seguridad de los MSSP, una solución de primera categoría también automatizará toda la pila de herramientas para proporcionar mayor visibilidad de herramientas que antes estaban aisladas.

El DIG comparó diversos proveedores de automatización de seguridad y SOAR para encontrar una plataforma que pudiera automatizar más allá de los casos de uso convencionales del centro de operaciones de seguridad (SOC). Durante la búsqueda, Swimlane destacó por varias razones.

Versatilidad y personalización: Tielking destacó que estas eran las características necesarias para su plataforma de automatización de seguridad. “Cuando buscábamos automatización, descubrimos que Swimlane era uno de los pocos productos que realmente nos permitía una integración más versátil y personalizada. Vimos que, con otras soluciones SOAR, contaban con componentes listos para usar que permitían una puesta en marcha rápida, pero no mucha personalización adicional. La diferencia de Swimlane, y la razón por la que nos decidimos por Swimlane, radica en que esas opciones iniciales eran marcos que nos permitían adaptarnos a nuestra perspectiva de negocio y a nuestras necesidades”.”

Ahorro de tiempo rápido:  Las primeras semanas de implementación de una nueva herramienta de seguridad suelen ser las más importantes. Para el equipo de DIG, la rápida respuesta de Swimlane les permitió procesar los datos de phishing con mayor rapidez. El ahorro de tiempo fue inmediato.

“Al principio, desde nuestra primera llamada y configuración, solo transcurrió una semana y ya estábamos procesando nuestros datos. Procesar parte de esa información primero nos permitió aprovechar el tiempo ahorrado en phishing para desarrollar nuestra solución SIEM. Así, en un par de semanas, teníamos Swimlane listo para procesar nuestros datos, lo que aportó valor a nuestro negocio. Fue rápido.”

Un sistema de registro para la seguridad: “Usamos Swimlane como repositorio central para todos los datos que recibimos. Lo usamos para automatizar el resto de nuestras herramientas y así integrar nuestra tecnología prácticamente en un único panel. Esto les permite trabajar en un solo área (sin un solo producto ni un solo software), lo que facilita la formación, el aprendizaje y la calidad de vida en general.‘

Soporte de 5 estrellas: La experiencia con un proveedor es tan importante como las capacidades de un producto. Tielking quedó inmediatamente impresionado con la calidad del soporte de Swimlane. "El equipo de soporte de Swimlane es increíble. Han sido muy serviciales. Me han ayudado en todo".

Retorno inmediato

Para el DIG, el éxito llegó rápidamente con Swimlane. La automatización de seguridad low-code permitió a su equipo hacer más en menos tiempo, lo que generó mejoras cuantificables.

Aumentar el número de dispositivos de punto finalTiekling señaló que la automatización de bajo código de Swimlane “permitió a nuestra empresa ampliar la cantidad de dispositivos terminales de unos doscientos a varios miles, sin ampliar nuestra plantilla. Ayudó a nuestro personal a centrarse en esos terminales sin necesidad de recurrir al proceso manual”.”

30-40% Ahorro de tiempo: Tielking explicó cómo el equipo de DIG utilizó Swimlane para automatizar su solución SIEM. "Incorporamos esas alertas y ayudamos a automatizar algunas de las tareas manuales iniciales que requieren mucho tiempo técnico (investigarlas). Esto nos ha permitido reducir significativamente el tiempo que tardamos en determinar las diferentes alertas que recibimos de nuestras soluciones MDR y EDR". El ahorro fue inmediato: "cerca del 30-40% del tiempo que tarda" en clasificar manualmente las alertas SIEM, "ahora son solo segundos dentro de Swimlane".

El DIG fue invitado a realizar una prueba beta de Swimlane Turbine y a experimentar sus nuevas funciones y potencia. Uno de los componentes más emocionantes de Turbine es la creación más rápida y sencilla de playbooks. Para el equipo del DIG, esto marcó un antes y un después.

Éxito continuo con Swimlane TurbineTrabajar en el programa Beta de Turbine fue una gran oportunidad para el DIG. Pudimos ver lo que viene. Muestra las estrategias que realmente reducirán las barreras de entrada para crear automatizaciones para nuestros nuevos técnicos que se incorporen. Nos permite tener mayor flexibilidad al contratar personal sin experiencia en el uso o desarrollo de SOAR. Estoy muy emocionado con Turbine porque permitirá que muchos de nuestros empleados se incorporen a la automatización de los diferentes procesos en los que trabajamos a diario.“

Ya se esperan resultados impresionantes de lo que han visto con Turbine. 

“Los playbooks de turbinas probablemente duplicarán o triplicarán el ahorro de tiempo en el DIG. Podremos aprovechar los flujos de trabajo ya semicomplejos (o muy complejos) con los que trabajamos y descomponerlos en un método más eficaz para ejecutar estos playbooks. Es realmente emocionante ver que podremos llevar nuestras automatizaciones al siguiente nivel.