Cómo Bank Leumi reduce el tiempo de detección de seguridad en un 60% con Elastic

Bank Leumi, fundado en 1902, es el mayor banco de Israel por activos, con más de 7.000 empleados y más de 195.000 millones de dólares bajo gestión. Sus operaciones abarcan banca de particulares, empresarial e inversión, así como una creciente oferta de banca digital. La escala y diversidad de esas actividades generan un flujo continuo de datos entre sistemas dispares — nube y entornos locales — que deben permanecer seguros, auditables y disponibles para un exigente centro de operaciones de seguridad (SOC).

A medida que la infraestructura del banco creció y se desplazó hacia la nube, su solución de registro y SIEM anterior no logró seguir el ritmo. Los datos semi-estructurados generados en la plataforma en la nube eran especialmente difíciles de gestionar. Cuando los analistas de seguridad necesitaban rastrear logs para una investigación forense, el proceso tardaba horas y a veces requería apoyo externo, ralentizando aún más al equipo del SOC. Dudi Levi, responsable de Datos en la División de Ciberseguridad, describió la fricción central: el banco necesitaba una forma mejor de gestionar todo tipo de datos y dar a sus clientes internos la flexibilidad de filtrar y analizar por sí mismos sin depender de especialistas.

Elasticsearch ya se utilizaba en Bank Leumi como lago de datos por varios equipos. Al evaluar opciones para sustituir el SIEM, Elastic Security surgió como la solución más completa — y la que permitía al equipo aprovechar la experiencia existente. El despliegue amplió el alcance de Elastic en todo el banco: tuberías estructuradas de ingestión de logs, paneles de Kibana para los equipos de Seguridad y Operaciones, y reglas de detección preconfiguradas alineadas con MITRE ATT&CK que cubren amenazas desde DDoS y ransomware hasta ataques de día cero. Las reglas de machine learning se añadieron para escenarios de ataque avanzados. ES|QL, el lenguaje de consulta de Elastic, permite a los analistas filtrar, agregar y analizar datos a través de series temporales directamente desde la interfaz de Kibana.

El cambio operativo fue inmediato. La búsqueda de logs que antes consumía horas ahora lleva minutos. Sapir Dagan, especialista en Seguridad de la Información, lo describió sin rodeos: si Elastic Security desapareciera, el equipo del SOC empezaría a reclamarlo a gritos. La analítica de autoservicio a través de Kibana permite a los grupos técnicos de toda la organización gestionar y detectar amenazas de forma autónoma, reduciendo la carga sobre el equipo central de Datos de Seguridad. En conjunto, el banco redujo el tiempo de detección y análisis de logs en un 60%, el tiempo de resolución de incidentes de seguridad en un 50% y el coste total de propiedad en un 40% al consolidar su SIEM y las operaciones de registro de datos en una única plataforma.

Bank Leumi está migrando su infraestructura a AWS, con planes de trasladar Elastic al mismo entorno en la nube. El equipo tiene previsto utilizar snapshots con búsqueda de Elastic y buckets de S3 para ampliar la disponibilidad y retención de datos, y espera que el ritmo constante de nuevas funcionalidades y reglas de detección de Elastic Security mantenga su postura defensiva a medida que el panorama de amenazas evolucione.