Vídeo
Entrevista da CyberRisk TV: O valor da IA, automação e low-code para MSSPs
Ler mais
MSSP escolhe Swimlane pela sua flexibilidade e escalabilidade.
Descubra mais sobre como a Swimlane auxilia um importante MSSP.
Estudo de Caso
Fundo
Manter monitoramento e resposta contínuos para centenas de clientes em todo o mundo é um desafio. Um grande provedor de serviços de segurança gerenciados (MSSP) com diversos centros de operações de segurança (SOCs) 24 horas por dia, 7 dias por semana, localizados na América do Norte, Europa e Ásia, enfrentou o desafio comum de escalar um número crescente de clientes com uma equipe de analistas limitada. Com mais clientes, vieram mais soluções de segurança e um número cada vez maior de alertas. A empresa buscava aumentar a produtividade da equipe de segurança por meio de orquestração e automação, para que os funcionários pudessem acompanhar os alertas e manter seus clientes seguros.
Isso se tornou realidade com a implementação da plataforma Swimlane. A solução líder de orquestração, automação e resposta de segurança (SOAR) da Swimlane ajuda esse MSSP a escalar e expandir seus negócios sem precisar contratar mais funcionários a cada novo cliente.
Critérios principais
Precisa
Este MSSP (provedor de serviços de segurança gerenciados) buscava uma plataforma de orquestração e resposta independente e de ponta. Antes de escolher a Swimlane, utilizava uma ferramenta interna de resposta a incidentes, mas esta não possuía os recursos de automação e a flexibilidade necessários. Os principais requisitos para sua solução eram: Solução SOAR eram:
- Altamente escalável para suportar um número grande e crescente de clientes.
- Flexível para atender a uma infinidade de casos de uso atuais e futuros.
- Deve integrar-se com os sistemas existentes, especialmente com o mecanismo de análise, via API.
O objetivo deste MSSP era ter uma plataforma de orquestração única para suas centenas de clientes, permitindo a centralização de todos os alertas recebidos. Como seus analistas trabalhavam com diversos clientes, eles também precisavam da capacidade de atribuir alertas automaticamente com base no tipo ou gravidade do alerta, em vez de atribuí-los com base no cliente. Sem uma instância global única, um analista teria que fazer login em cada ambiente diferente, o que não é escalável. Com o Swimlane, este MSSP agora consegue agregar todos os alertas, executar fluxos de trabalho automaticamente e, em seguida, atribuir e encaminhar casos para analistas somente quando necessário.
O uso do Swimlane oferece diversas vantagens:
- A maioria dos alertas não precisa de intervenção humana para ser resolvida, liberando horas da equipe para atividades de maior valor agregado.
- Os analistas não precisam ser alocados a clientes específicos, o que permite uma melhor utilização da equipe.
- Os analistas podem se especializar em tipos específicos de alertas ou investigações, o que leva a uma maior eficiência e satisfação da equipe.
Com o rápido crescimento do MSSP, a importância da flexibilidade em sua plataforma SOAR tornou-se crucial. A solução SOAR precisava de funcionalidades que, embora não fossem necessárias no momento, poderiam vir a ser no futuro. A capacidade do Swimlane de atribuir analistas e grupos de analistas dinamicamente facilita e torna mais conveniente o gerenciamento de SOCs em crescimento, caso um SOC fique indisponível. Por exemplo, eles destacaram a funcionalidade que automatiza a alocação de analistas em grupos e, em seguida, atribui esses grupos aos clientes.
Os casos de uso foram variados e o MSSP testou alguns casos de uso principais, principalmente relacionados à detecção e resposta de endpoints (EDR) e à proteção de fluxos de trabalho em nuvem. Mas isso serviu apenas para comprovar as capacidades, já que "o objetivo principal de uma plataforma de orquestração é ser flexível e capaz de atender a qualquer caso de uso, idealmente", afirmou o Diretor de Produtos de Segurança do MSSP. A Swimlane é conhecida entre MSSPs e grandes empresas por sua capacidade de ir além do convencional. Casos de uso do SOAR, Abrangendo tudo, desde testes automatizados de ataques até ameaças internas, passando por integração/desligamento de analistas e muito mais. Os casos de uso são praticamente ilimitados com as amplas capacidades de orquestração e automação do Swimlane.
A capacidade de integração robusta de APIs foi o terceiro requisito fundamental. "Com a maioria das plataformas SOAR, você pode usar as APIs, mas precisa importar o alerta diretamente para a ferramenta de orquestração", explicou o Diretor de Produtos de Segurança. Com o Swimlane, este MSSP obtém maior flexibilidade, pois a API do Swimlane permite que o cliente atenda às principais demandas de fluxo de trabalho, incluindo o envio de alertas de sua solução Carbon Black EDR para suas ferramentas de análise e, em seguida, o encaminhamento para o Swimlane. A API do Swimlane também facilita "a extração de dados da sua plataforma de orquestração de segurança para o nosso portal do cliente, mostrando a eles um panorama do que está acontecendo". O Swimlane oferece suporte a centenas de ferramentas de terceiros e milhares de integrações. Essa capacidade é crucial para os MSSPs, pois eles não têm recursos para criar e manter integrações de API por conta própria.
SOLUÇÃO
E quanto às alternativas?
Este MSSP avaliou seis fornecedores, metade com foco em soluções de segurança e a outra metade em soluções de orquestração e automação de TI. Embora as soluções de orquestração e automação de TI tenham apresentado sucesso limitado em atender às necessidades do MSSP, dois fornecedores líderes em SOAR, incluindo a Swimlane, foram selecionados para testes internos. A Swimlane se destacou.
Os principais motivos pelos quais a Swimlane se destacou como a melhor opção, segundo o Diretor de Produtos de Segurança, incluem:
- “As APIs estavam por toda parte.” A plataforma Swimlane é totalmente habilitada para APIs e possui documentação completa. Este cliente já havia tido experiências negativas com fornecedores que prometiam APIs, mas que não funcionavam como esperado. Ver as APIs da Swimlane funcionando conforme o esperado foi um critério decisivo e facilita muito a importação e exportação de dados da plataforma.
- A plataforma Swimlane demonstrou a escalabilidade e a flexibilidade necessárias. Grande parte disso se deveu ao fato de o CEO da Swimlane e outros funcionários trabalharem em SOCs e conhecerem o funcionamento e a operação desses centros. Embora o outro fornecedor de SOAR tivesse uma equipe de segurança, seus membros não eram especialistas em operações de segurança, e isso ficou evidente.“
- Os controles de acesso baseados em funções (RBAC) granulares da Swimlane foram muito importantes para este cliente. Um RBAC robusto permite que eles concedam à sua equipe global de analistas acesso apenas às funcionalidades ou aos clientes necessários, reduzindo o risco de segurança.
- Painéis de controle refinados e flexíveis permitem gerar métricas e relatórios fáceis de entender e visualizar rapidamente.
- A arquitetura de Alta Disponibilidade/Recuperação de Desastres atenua as preocupações com o tempo de inatividade.
- A Swimlane é uma empresa independente. Plataforma SOAR, atenuando as preocupações sobre um foco ou viés em relação ao ecossistema de um único fornecedor.
Retorno do Investimento
Para um MSSP, é crucial obter um retorno positivo sobre o investimento (ROI) ao adicionar novas ferramentas. Para este cliente, a adição do Swimlane como sua solução SOAR proporcionou o ROI necessário por meio de maior eficiência e eficácia. "A Forrester, empresa de análise, estava certa", afirmou o Diretor de Produtos de Segurança. "O objetivo (com o SOAR) não é tomar mais decisões ruins mais rapidamente. O objetivo é tomar boas decisões. Você automatiza as tarefas simples para que seus analistas possam se concentrar nas mais complexas."“
Explore a Turbina Swimlane
A plataforma de automação de segurança mais completa do mundo
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español