Boyne Resorts obtém melhorias revolucionárias no SOC com Cortex XSIAM e Unit 42 MDR

A equipe de operações de segurança da Boyne trabalha em uma localização central e é responsável por manter a visibilidade de possíveis ameaças e exposições nas redes distribuídas e na variedade de dispositivos da empresa.

A equipe estava lidando com um sistema antigo de gerenciamento de informações e eventos de segurança (SIEM) que apresentava desafios em várias frentes. Embora estivesse processando apenas uma pequena quantidade de dados, o SIEM produzia uma alta taxa de falsos positivos e poucos insights de qualidade. Além disso, o custo de adicionar mais fontes de dados era proibitivo.

Como explica Mike Dembek, arquiteto de rede da Boyne: “A coleta de registros era um grande ponto fraco para nós. Nosso SIEM era caro e era difícil integrar fontes.” Ele acrescenta: “ Buscávamos alertas que não eram precisos. Era uma confusão de coisas que não estavam correlacionadas entre si.”

Um terceiro gerenciava o SIEM, mas mesmo com esse suporte adicional, o volume de alertas era imenso. Embora a Boyne precisasse de insights relevantes reunidos em mais pontos de dados, Dembek sabia que simplesmente adicionar mais fontes ao SIEM resultaria em um preço mais alto e ainda mais interferência.

Reforçar a segurança em milhares de dispositivos da empresa e grandes quantidades de dados valiosos exigia mais do que o SIEM podia oferecer — por isso, a Boyne fez a transição para o Cortex XSIAM da Palo Alto Networks. A empresa também firmou uma parceria com a Unit 42^® da Palo Alto Networks para serviços contínuos de MDR e um contrato de retenção da Unit 42.

A pequena e dedicada equipe de segurança da Boyne queria substituir seu SOC legado por um que oferecesse a qualidade e o rigor exigidos pela empresa. A equipe não estava satisfeita com pequenas melhorias. A meta era o melhor da categoria.

Para atingir isso, a equipe precisava de soluções que:

• Processassem significativamente mais fontes de dados, sem um preço exorbitante
• Fornecessem o mínimo de falsos positivos para reduzir a fadiga de alertas e a perda de tempo
• Fornecessem mais valor, insights e inteligência em todas as áreas
• Controlassem efetivamente os riscos e melhorassem a postura de segurança da Boyne
• Oferecessem cobertura 24 horas por dia, 7 dias por semana, para ampliar a equipe interna da empresa

Em última análise, a equipe queria expandir a visibilidade e aprofundar seus recursos de análise sem a necessidade de aumentar o número de funcionários. Uma tarefa difícil? Com certeza. Seria possível de fazer? Com o Cortex XSIAM e o Unit 42 MDR, com certeza

Além da maior visibilidade, o número de falsos positivos caiu drasticamente. O Cortex XSIAM tem um mecanismo de correlação que consolida vários alertas em um único incidente, reduzindo as duplicações e o retrabalho. Os incidentes que exigem investigação caíram de 80 a 100 para 35 por dia, devido à redução da taxa de falsos positivos e do número de incidentes duplicados identificados.

A Boyne também ganhou novos níveis de controle e personalização. “Nosso SIEM anterior não tinha nenhum recurso de ajuste de alerta ou de alerta personalizado”, lembra Kenny Hicks, engenheiro de segurança líder. “Os alertas de correlação imediatos são uma grande vantagem do XSIAM. Também podemos criar nossos próprios alertas personalizados, se necessário.”

Com o Cortex XSIAM, a equipe observou melhorias em várias áreas:/p>

• O processamento de dados cresceu de 5 GB por dia no SIEM anterior para 350 GB por dia no Cortex XSIAM, proporcionando maior visibilidade e proteção.
• As fontes de dados aumentaram de 1 para 21, proporcionando a capacidade de correlacionar eventos em várias fontes de dados.
• Redução de 65% nos incidentes abertos, de 80 a 100 para 35 por dia, devido a reduções nas taxas de falsos positivos e incidentes duplicados.
• 98% redução no tempo médio de resolução, de mais de 20 ferramentas e painéis necessários para investigações para apenas 1.
• Redução de 95% no número de fornecedores e ferramentas from 20+ tools and dashboards needed for investigations to 1.
• O gerenciamento conjunto do SIEM não era mais necessário, pois a empresa pôde assumir o gerenciamento internamente.

Os líderes de segurança da Boyne não queriam apenas fortalecer a postura de segurança da empresa. Eles também queriam ter um SOC 24 horas por dia, 7 dias por semana, sem aumentar a equipe.

Depois de implementar o Cortex XSIAM, eles contrataram a Unit 42 da Palo Alto Networks para fornecer serviços de MDR para aumentar os esforços da equipe e oferecer cobertura 24 horas por dia, 7 dias por semana, durante todo o ano. Trabalhar com a Unit 42 MDR permite que a empresa aproveite a inteligência de ameaças de classe mundial da Unit 42 e a ampla experiência em produtos de segurança e do Cortex. Em última análise, isso proporciona visibilidade completa e resposta mais rápida em redes e sistemas distribuídos.

“Ficamos impressionados com a disposição da equipe de MDR em ajudar”, diz Hicks. “Trabalhar com eles é um grande sucesso, pois conseguimos acesso antecipado aos novos conjuntos de recursos do XSIAM e nos tornamos mais eficientes.”

O serviço de MDR da Unit 42 é integrado ao Cortex XSIAM, oferecendo à Boyne uma interface de usuário única para analisar as investigações e determinar as próximas etapas, poupando o tempo que a pequena equipe gastava com sistemas desconectados e permitindo que ela se concentrasse em prioridades mais estratégicas.

“A equipe de MDR cuida das nossas investigações, encaminha todos os alertas e compartilha um relatório detalhado que nos ajuda a tomar decisões mais rápidas e precisas sobre esses incidentes”, explica Hicks. “Isso economiza muito tempo da nossa equipe.”

Com o monitoramento contínuo, a busca proativa de ameaças e outros componentes do serviço MDR, os analistas de segurança da Boyne podem ter a certeza de que, mesmo quando não estão de olho em seu ambiente, um parceiro de confiança está.

A nova abordagem oferece muito mais funcionalidade e reduz a carga de trabalho da equipe de segurança da Boyne. O Cortex XSIAM foi desenvolvido para possibilitar a automação avançada, permitindo que a equipe realize muito mais com menos.

“Com o XSIAM”, relata Dembek “estamos unindo a proteção da rede e dos endpoints, observando toda a cadeia de causalidade”. Hicks acrescenta “O XSIAM facilita a automação. A capacidade de processar dados facilmente e criar manuais com codificação mínima reduz drasticamente o esforço necessário para configurar a automação.”

Entre a transformação do seu SOC com o Cortex XSIAM e a manutenção dos serviços de MDR da Unit 42, a Boyne agora tem:

• Maior visibilidade de possíveis ameaças e problemas. Ao aumentar o número de fontes de dados e o total de dados processados com o Cortex XSIAM, e com a busca proativa de ameaças do MDR da Unit 42, a Boyne pode observar muito mais do que antes.
• Alertas de alta qualidade e detecção aprimorada. Com alertas personalizados e ajuste de alertas habilitados pelo Cortex XSIAM, a equipe recebe informações de melhor qualidade.
• Recursos de IA e análise substancialmente melhores. Graças à análise personalizada e imediata que vem com o Cortex XSIAM, a empresa pode fazer muito mais com os dados da rede e dos endpoints.
• Maior produtividade e eficiência em toda a equipe de segurança.. Com automação de alta maturidade, vários manuais, além de insights de investigação, conhecimento especializado e monitoramento contínuo 24 horas por dia, 7 dias por semana, do MDR da Unit 42, a equipe pode fazer mais em menos tempo.
• O melhor nível de inteligência contra ameaças da categoria. Com vários feeds que chegam ao Cortex XSIAM e enriquecem os alertas e a análise, a Boyne tem uma visão abrangente dos possíveis agentes e riscos de ameaças.

A empresa também está agora mais bem preparada para o futuro. Com a retenção da Unit 42, a Boyne continuará adotando uma postura proativa em relação à sua proteção, enquanto especialistas bem versados em seu ambiente estarão disponíveis para responder rapidamente a um incidente grave, caso ele ocorra. Em seguida, a equipe da Boyne planeja usar seus créditos de retenção em exercícios teóricos da Unit 42 para aprimorar seus processos de resposta a incidentes e aumentar sua eficácia em cenários de segurança do mundo real e nas ameaças mais recentes.

A equipe de segurança está muito satisfeita com a forma como todos os produtos e serviços da Palo Alto Networks trabalham juntos para melhorar a postura de segurança da empresa.

Com a parceria com a Palo Alto Networks, a Boyne agora está mais bem equipada para enfrentar quaisquer desafios que o futuro reserve e manter a empresa segura enquanto continua inovando e crescendo.