Boyne Resorts logra mejoras revolucionarias en su SOC gracias a Cortex XSIAM y al servicio MDR de Unit 42

El equipo de operaciones de seguridad de Boyne desarrolla su actividad en una ubicación central y se encarga de supervisar las posibles amenazas y exposiciones de todos los dispositivos y redes distribuidas de la empresa.

El sistema de gestión de eventos e información de seguridad (SIEM) obsoleto dificultaba constantemente el trabajo del equipo, pues planteaba retos en muchos aspectos. Aunque solo procesaba una cantidad reducida de datos, el SIEM generaba muchos falsos positivos y poca información de calidad. Además, el coste que conllevaba añadir más fuentes de datos era prohibitivo.

En palabras de Mike Dembek, arquitecto de Redes de Boyne: «Para nosotros, la recopilación de logs era un gran punto débil. Nuestro SIEM era caro y resultaba difícil integrar las fuentes». Y prosigue así: «Analizábamos alertas que no eran precisas. Recibíamos un batiburrillo de datos sin relación entre sí».

Aunque la gestión del SIEM estaba a cargo de un tercero, el volumen de alertas era inmenso incluso con esta ayuda adicional. Aunque Boyne precisaba que se recopilara información relevante de más puntos de datos, Dembek sabía que la solución no era simplemente añadir más fuentes al SIEM, puesto que esto incrementaría el precio y el ruido.

Para reforzar la seguridad de miles de dispositivos corporativos y grandes volúmenes de datos valiosos, necesitaban mucho más de lo que su SIEM podía ofrecer, así que Boyne decidió cambiar a Cortex XSIAM de Palo Alto Networks. La empresa también recurrió al servicio continuo de MDR del equipo Unit 42^® de Palo Alto Networks y estableció un acuerdo de anticipo de honorarios con él.

El reducido equipo encargado de la seguridad de Boyne pretendía sustituir su SOC obsoleto por otro que ofreciera una calidad y un rigor acordes con las necesidades de la empresa. No quería conformarse con una serie de cambios menores. El objetivo era adquirir lo mejor de lo mejor.

Para lograrlo, el equipo necesitaba soluciones capaces de hacer lo siguiente:

• Procesar bastantes más fuentes de datos sin que el precio fuera desorbitado.
• Proporcionar el menor número de falsos positivos posible para reducir el «mal de alertas» y la pérdida de tiempo.
• Aportar más valor, información útil e inteligencia en todos los ámbitos.
• Permitir controlar el riesgo y mejorar la estrategia de seguridad de Boyne con eficacia.
• Ofrecer una cobertura ininterrumpida para ampliar la capacidad del equipo interno.

En última instancia, el equipo deseaba incrementar su visibilidad y sus capacidades de análisis sin tener que incorporar a más empleados. ¿Era esto un gran reto? Por supuesto. ¿Era posible llevarlo a cabo? Con Cortex XSIAM y el servicio MDR de Unit 42, sin ninguna duda.

Aparte del aumento de la visibilidad, el número de falsos positivos se desplomó. Cortex XSIAM dispone de un motor de correlación que reúne varias alertas en un mismo incidente, con lo que se reducen los duplicados y la repetición del trabajo. Gracias a la disminución de la tasa de falsos positivos y de los duplicados, los incidentes que requerían investigación pasaron de 80-100 a 35 al día.

Boyne también alcanzó nuevas cotas de control y personalización. «El SIEM anterior no tenía ninguna función para ajustar o personalizar alertas —recuerda Kenny Hicks, ingeniero jefe de Seguridad—. Las alertas de correlación predefinidas son una gran ventaja de XSIAM. Además, también podemos crear alertas personalizadas si queremos».

Cortex XSIAM permitió al equipo mejorar en varias áreas:

• El procesamiento de datos se incrementó de 5 GB al día con el SIEM anterior a 350 GB al día con Cortex XSIAM, lo que supone un aumento de la visibilidad y la seguridad.
• Las fuentes de datos aumentaron de 1 a 21, lo que permite correlacionar eventos de varias fuentes de datos.
• Los incidentes abiertos disminuyeron en un 65 % (de 80-100 al día a 35 al día) gracias a la reducción de la tasa de falsos positivos y de los incidentes duplicados.
• El tiempo medio de resolución se redujo en un 98 % (de 2-3 días a 1,7 horas).
• Los proveedores y herramientas se redujeron en un 95 % (se pasó de más de 20 herramientas y paneles de investigación a solo 1).
• La cogestión del SIEM dejó de ser necesaria, puesto que el personal interno de la empresa podía encargarse de la gestión.

A los responsables de seguridad de Boyne no solo les interesaba reforzar la estrategia de seguridad de la empresa, sino que también querían disponer de un SOC que funcionara de forma ininterrumpida sin tener que ampliar el equipo.

Después de implementar Cortex XSIAM, solicitaron los servicios MDR de Unit 42 de Palo Alto Networks para potenciar la capacidad del equipo y disponer de una cobertura ininterrumpida. La colaboración con el servicio MDR de Unit 42 permite a la empresa acceder a la insuperable inteligencia sobre amenazas de Unit 42 y a su amplia experiencia en seguridad y los productos de Cortex. En última instancia, ofrece visibilidad total y una respuesta más rápida en todos los sistemas y redes distribuidos.

«Nos ha impresionado la gran disposición de los miembros del equipo de MDR a ayudarnos —afirma Hicks—. Trabajar con ellos ha sido muy fructífero y, gracias a esta colaboración, hemos accedido de forma anticipada a nuevas funciones de XSIAM y nuestra eficiencia ha aumentado».

El servicio MDR de Unit 42 se integra con Cortex XSIAM, con lo que Boyne dispone de una sola interfaz de usuario para revisar las investigaciones y determinar los siguientes pasos. Así, su reducido equipo puede ahorrar el tiempo que solía dedicar a lidiar con sistemas inconexos y centrarse en prioridades más estratégicas.

«El equipo de MDR gestiona nuestras investigaciones: reenvía las alertas y comparte informes detallados que nos ayudan a tomar decisiones de forma más rápida y con mayor conocimiento de causa sobre los incidentes —explica Hicks—. Esto permite al equipo ahorrar mucho tiempo».

Gracias a la supervisión continua, la búsqueda proactiva de amenazas y otros componentes del servicio MDR, los analistas de seguridad de Boyne pueden tener la certeza de que cuando no tengan la vista puesta en su entorno, su partner de confianza sí la tendrá.

La nueva estrategia ofrece muchas más funciones y reduce la carga de trabajo del equipo de seguridad de Boyne. Cortex XSIAM se ha diseñado para ofrecer una automatización avanzada, lo que permite al equipo lograr muchos más objetivos con menos recursos.

«Con XSIAM —apunta Dembek—, aunamos la protección de la red y del endpoint para analizar toda la cadena de causalidad». Hicks añade: «XSIAM facilita la automatización. Al poder procesar datos y crear libros de estrategias fácilmente y con una codificación mínima, nos cuesta mucho menos configurar la automatización».

Entre la transformación de su SOC con Cortex XSIAM y la adquisición de los servicios MDR de Unit 42, Boyne cuenta ahora con lo siguiente:

• Mayor visibilidad de los posibles problemas y amenazas. Al incrementar las fuentes de datos y la cantidad total de datos procesados con Cortex XSIAM, y gracias a la búsqueda proactiva de amenazas del servicio MDR de Unit 42, Boyne tiene mucha más visibilidad que nunca.
• Alertas de alta calidad y detección mejorada. Gracias a los análisis predeterminados de Cortex XSIAM, la empresa puede sacar muchísimo más partido a los datos de la red y del endpoint.
• Capacidades de análisis y de IA mucho mejores. Gracias a los análisis predeterminados de Cortex XSIAM, la empresa puede sacar muchísimo más partido a los datos de la red y del endpoint.
• Mayor productividad y eficiencia de todo el equipo de seguridad.. Gracias a la automatización avanzada, los diversos libros de estrategias, la información útil obtenida mediante la investigación, los conocimientos especializados y la supervisión ininterrumpida del servicio MDR de Unit 42, el equipo puede realizar más tareas en menos tiempo.
• Un nivel excelente de inteligencia sobre amenazas. Gracias a las múltiples fuentes de Cortex XSIAM que nutren las alertas y los análisis, Boyne dispone de una gran cantidad de información útil sobre posibles actores de amenazas y riesgos.

Ahora, la empresa también está mejor preparada para el futuro. Gracias al acuerdo de anticipo de honorarios con Unit 42, Boyne mantendrá su postura de protección proactiva y tendrá a su disposición a profesionales expertos en su entorno que responderán de inmediato a un incidente grave, si llegara a producirse. Además, el equipo de Boyne planea gastar los créditos del acuerdo de anticipo de honorarios en un ejercicio de simulación de Unit 42 para mejorar sus procesos de respuesta a incidentes y su eficacia respecto a situaciones de seguridad reales y amenazas recientes.

El equipo de seguridad está encantado con la combinación de productos y servicios de Palo Alto Networks que han adquirido y con lo bien que funcionan en lo que respecta a la mejora de la estrategia de seguridad de la empresa.

Al colaborar con Palo Alto Networks, Boyne cuenta ahora con mejores herramientas para enfrentarse a los retos que pueda depararle el futuro y proteger la empresa mientras sigue innovando y creciendo.