Ogni anno, questo gigante globale della vendita al dettaglio assume consulenti per condurre esercitazioni di red team per testare la resistenza delle operazioni di cybersecurity. E ogni anno fallisce, fino a quando non si avvale di Vectra.
Ho avuto il privilegio di parlare con John Byun, Sr. Security Architect, di un rivenditore globale, per discutere di come il suo team abbia superato i test del Red Team, del perché la collaborazione con Vectra sia stata fondamentale per raggiungere questo traguardo e di come la piattaforma Cognito sia diventata essenziale per le operazioni di sicurezza della sua organizzazione.
Vectra si dispiega per garantire un'alta fedeltà degli avvisi e una riduzione del rumore
Sfortunatamente, il team del centro operativo di sicurezza (SOC), composto da sette membri, aveva un budget ridotto per la sicurezza, nonostante dovesse garantire la sicurezza della rete per centinaia di negozi e un'intensa attività di vendita al dettaglio online. Il team di John aveva bisogno di una soluzione di rilevamento e risposta alla rete (NDR) che identificasse gli aggressori che eludono i firewall e i sistemi di prevenzione o rilevamento delle intrusioni (IPS/IDS) sul perimetro della rete, fornendo al contempo visibilità sulle minacce.
Nella scelta di un prodotto, John ha dichiarato che i suoi "must have" per uno strumento di sicurezza includono 1) il rilevamento accurato dei veri positivi e 2) la riduzione del rumore. Ha osservato: "Se non è in grado di rilevare i veri positivi, a cosa serve?".
Dopo queste due esigenze principali, John ha menzionato che un'interfaccia utente pulita, una funzionalità efficace, la facilità d'uso e un prezzo ragionevole sono tutti elementi "piacevoli da avere".
Alla fine, il team SOC ha ristretto l'NDR a due finalisti, Vectra ed ExtraHop, chesono stati resi operativi in un test proof-of-concept (POC). Per coincidenza, ciò è avvenuto nello stesso momento in cui l'azienda era impegnata in un altro test di penetrazione del Red Team.
Durante il POC, John ha notato che Vectra "aveva una serie di rilevamenti per quell'operazione di Red Team" e gestiva i rilevamenti utilizzando l'intelligenza artificiale. D'altra parte, anche se ExtraHop alla fine ha mostrato alcuni rilevamenti, la sua tecnologia basata su regole e l'incapacità di gestire i rilevamenti non erano paragonabili a Vectra.
"Per me ExtraHop non era uno strumento di sicurezza. È uno strumento di monitoraggio della rete con alcune funzionalità di sicurezza", ha spiegato John. Ha aggiunto che ExtraHop era notevolmente rumoroso rispetto a Vectra e non disponeva delle stesse funzionalità di sintonizzazione per adattare gli avvisi all'attività del suo SOC.
Nel giro di due settimane, il livello di rumore di John è diminuito in modo significativo. Dopo quasi tre anni di utilizzo di Vectra, John nota che ricevono solo 4-5 rilevamenti ad alta fedeltà al giorno: "Non dobbiamo passare ore al giorno a indagare su questi rilevamenti".
La riduzione del carico di lavoro del SOC offre al suo team più tempo per indagare sugli incidenti, ricercare proattivamente le minacce ed eseguire indagini conclusive.
John l'ha detto meglio di tutti: "Ho detto al mio capo che se il nostro budget fosse stato completamente tagliato, Vectra sarebbe stato l'ultimo strumento di cui mi sarei sbarazzato".
Stare al passo con la Squadra Rossa
I test Red Team mettono alla prova i team SOC per quanto riguarda la protezione, il rilevamento e la bonifica. Da quando ha implementato Vectra, il team SOC di John ha superato i test del Red Team per due anni consecutivi.
Naturalmente, questo successo non sarebbe stato possibile senza altri due elementi della triade della visibilità SOC: la gestione degli eventi di sicurezza (SIEM) e il rilevamento e la risposta endpoint (EDR). John ha sottolineato l'importanza di utilizzare l'NDR insieme al SIEM e all'EDR per ottenere una copertura end-to-end.
"Per me, la triade SOC comprende il nostro strumento EDR, l'NDR è Vectra e l'ultimo è Splunk", ha detto John. Sebbene utilizzino Splunk e la loro soluzione EDR per ottenere visibilità sulle attività, Vectra è il componente principale su cui fanno affidamento per i rilevamenti.
La bellezza di una partnership forte
John e io abbiamo concluso affermando la comunicazione e la collaborazione reciproca tra i nostri team. Quando John ha detto: "È il miglior rapporto che abbia mai avuto con un fornitore", non ho potuto contenere la mia eccitazione. Non c'è niente di meglio che sapere che i nostri partner si sentono supportati, soprattutto quando ci divertiamo a lavorare insieme.
In futuro, la sua organizzazione intende sottoporsi ai test del Purple Team. Questa decisione esemplifica le opportunità e i vantaggi derivanti da una collaborazione entusiasta e dal continuo successo delle soluzioni Vectra.
Mentre questo rivenditore globale continua a sfruttare la tecnologia Vectra e a sviluppare la propria sicurezza aziendale, noi continueremo a supportarlo in ogni fase del percorso.
Scoprite come questo gigante della bellezza utilizza Detect, Detect for Office 365 e Recall di Vectra per superare i test del Red Team e garantire la sicurezza generale dei suoi dati.
