Cómo un minorista mundial superó las pruebas del equipo rojo con Vectra

30 de abril de 2021
Hitesh Sheth
Presidente y Consejero Delegado
Cómo un minorista mundial superó las pruebas del equipo rojo con Vectra

Todos los años, este gigante mundial de la venta al por menor contrata a consultores para que lleven a cabo ejercicios de equipo rojo con el fin de poner a prueba el temple de las operaciones de ciberseguridad. Y todos los años fracasaban, hasta que desplegaron Vectra.

Tuve el privilegio de hablar con John Byun, Arquitecto de Seguridad Sr., de un minorista global, para discutir cómo su equipo pasó la prueba Red Team, por qué asociarse con Vectra fue vital para lograr ese hito, y cómo la Plataforma Cognito se ha convertido en esencial para las operaciones de seguridad de su organización.

Vectra se despliega para alertas de alta fidelidad y menos ruido

Desgraciadamente, el equipo del centro de operaciones de seguridad (SOC), compuesto por siete miembros, contaba con un presupuesto de seguridad escaso a pesar de tener que mantener la seguridad de la red de cientos de tiendas y un ajetreado negocio minorista en línea. El equipo de John necesitaba una solución de detección y respuesta a la red (NDR ) que identificara a los atacantes que eludían los cortafuegos y los sistemas de prevención o detección de intrusiones (IPS/IDS) en el perímetro de la red, al tiempo que proporcionaba visibilidad de las amenazas.

A la hora de elegir un producto, John afirma que para una herramienta de seguridad es imprescindible que: 1) detecte con precisión los verdaderos positivos, y 2) reduzca el ruido. Comentó: "Si no puede detectar verdaderos positivos, ¿de qué te sirve?".

Tras esas dos necesidades principales, John mencionó que una interfaz de usuario limpia, una funcionalidad eficaz, la facilidad de uso y un precio razonable son "cosas que está bien tener".

Finalmente, el equipo del SOC redujo NDR a dos finalistas -Vectra y ExtraHop - queestaban operativos en una prueba de concepto (POC). Casualmente, esto ocurrió al mismo tiempo que la empresa participaba en otra prueba de penetración del Equipo Rojo.

Durante el POC, John observó que Vectra "tenía varias detecciones para esa operación de Red Team" y triaba las detecciones mediante IA. Por otro lado, aunque ExtraHop acabó mostrando algunas detecciones, su tecnología basada en reglas y su incapacidad para triar las detecciones no podían compararse con Así fue como seleccionaron Vectra como su solución NDR.

"Para mí, ExtraHop no era una herramienta de seguridad. Es una herramienta de supervisión de redes con algunas funciones de seguridad", explicó John. Añadió que ExtraHop era considerablemente ruidosa en comparación con Vectra y no tenía las mismas capacidades de ajuste que adaptaban las alertas a la actividad de su SOC.

En dos semanas, el nivel de ruido de John disminuyó considerablemente. Después de casi tres años utilizando Vectra, John señala que sólo reciben de 4 a 5 detecciones de alta fidelidad al día: "No tenemos que pasar horas al día investigando estas detecciones".

Esta reducción de la carga de trabajo del SOC da a su equipo más tiempo para investigar incidentes, buscar amenazas de forma proactiva y realizar investigaciones concluyentes.

John lo dijo mejor que nadie: "Le dije a mi jefe que si nos recortaban el presupuesto por completo, Vectra sería la última herramienta de la que me desharía".

Adelantarse al Equipo Rojo

Las pruebas de Red Team suponen un reto para los equipos SOC en lo que se refiere a protección, detección y corrección. Desde la implantación de Vectra, el equipo SOC de John ha superado las pruebas de Red Team dos años seguidos.

Por supuesto, este éxito no habría sido posible sin otros dos elementos de la tríada de visibilidad del SOC: la gestión de eventos de información de seguridad (SIEM) y la detección y respuesta de puntos finales (EDR). John señaló la importancia de utilizar NDR junto con SIEM y EDR para lograr una cobertura de extremo a extremo.

"Para mí, creo que nuestra tríada SOC incluye nuestra herramienta EDR, NDR es Vectra, y nuestro último es Splunk", dijo John. Aunque utilizan Splunk y su solución EDR para obtener visibilidad sobre la actividad, Vectra es el principal componente en el que confían para las detecciones.

La belleza de una asociación sólida

John y yo terminamos afirmando la comunicación y colaboración mutuas entre nuestros equipos. Cuando John dijo : "Es la mejor relación que he tenido con un proveedor", no pude contener mi emoción. No hay nada mejor que saber que nuestros socios se sienten respaldados, sobre todo cuando disfrutamos trabajando juntos.

En el futuro, su organización tiene previsto someterse a las pruebas del Equipo Púrpura. Esta decisión ejemplifica las oportunidades y ventajas derivadas de una cooperación entusiasta y un éxito continuado utilizando las soluciones de Vectra .

A medida que este minorista global continúe aprovechando la tecnología de Vectra y desarrollando la seguridad de su empresa, seguiremos apoyándole en cada paso del camino.

Conozca la historia completa de cómo este gigante mundial de la belleza utiliza Detect, Detect para Office 365 y Recall de Vectra para superar las pruebas de Red Team y garantizar la seguridad general de sus datos.

Preguntas frecuentes