Cómo Bank Leumi reduce el tiempo de detección de seguridad en un 60% con Elastic
Bank Leumi, el principal banco de Israel con más de 7.000 empleados y 195.000 millones de dólares en activos, reemplazó su antiguo SIEM por Elastic Security para ganar visibilidad unificada sobre una infraestructura híbrida de nube y entornos locales que genera grandes volúmenes de datos semi-estructurados. Al desplegar Elastic Security junto a paneles de Kibana y reglas de detección alineadas con MITRE ATT&CK, el banco redujo el tiempo de detección y análisis de logs en un 60%, el tiempo de resolución de incidentes de seguridad en un 50% y el coste total de propiedad en un 40%.
Impacto
-60%
Tiempo de detección y análisis de logs
-40%
Coste total de propiedad
-50%
Tiempo de resolución de incidentes de seguridad
Desafío
El SIEM anterior de Bank Leumi no podía gestionar los datos semi-estructurados generados por una infraestructura en la nube en crecimiento, obligando a los analistas del SOC a dedicar horas — a veces con apoyo externo — a rastrear logs para investigaciones forenses, sin capacidades de analítica de autoservicio para los equipos de seguridad distribuidos.
Solución
Bank Leumi desplegó Elastic Security como su SIEM principal, construyendo sobre una base existente de lago de datos en Elasticsearch con paneles de Kibana, reglas de detección MITRE ATT&CK, detección de amenazas basada en ML y ES|QL para análisis forense ad hoc, dando a cada miembro del equipo de seguridad acceso de autoservicio a la analítica de logs e investigación de amenazas.
Herramientas y tecnologías
Lo que dicen los líderes
“Podemos hacer mucho más en menos tiempo. Con Elastic, todo es tan intuitivo y rápido comparado con la solución anterior.”
“Como cualquier banco, tenemos un equipo del SOC muy exigente. Si nos quitaran Elastic Security, empezaríamos a reclamarlo a gritos. Es mucho más rápido que la herramienta anterior.”
Regístrate para leer casos de estudio completos, acceder a métricas detalladas y recibir todos los reportes.
Historia completa
Bank Leumi, fundado en 1902, es el mayor banco de Israel por activos, con más de 7.000 empleados y más de 195.000 millones de dólares bajo gestión. Sus operaciones abarcan banca de particulares, empresarial e inversión, así como una creciente oferta de banca digital. La escala y diversidad de esas actividades generan un flujo continuo de datos entre sistemas dispares — nube y entornos locales — que deben permanecer seguros, auditables y disponibles para un exigente centro de operaciones de seguridad (SOC).
A medida que la infraestructura del banco creció y se desplazó hacia la nube, su solución de registro y SIEM anterior no logró seguir el ritmo. Los datos semi-estructurados generados en la plataforma en la nube eran especialmente difíciles de gestionar. Cuando los analistas de seguridad necesitaban rastrear logs para una investigación forense, el proceso tardaba horas y a veces requería apoyo externo, ralentizando aún más al equipo del SOC. Dudi Levi, responsable de Datos en la División de Ciberseguridad, describió la fricción central: el banco necesitaba una forma mejor de gestionar todo tipo de datos y dar a sus clientes internos la flexibilidad de filtrar y analizar por sí mismos sin depender de especialistas.
Elasticsearch ya se utilizaba en Bank Leumi como lago de datos por varios equipos. Al evaluar opciones para sustituir el SIEM, Elastic Security surgió como la solución más completa — y la que permitía al equipo aprovechar la experiencia existente. El despliegue amplió el alcance de Elastic en todo el banco: tuberías estructuradas de ingestión de logs, paneles de Kibana para los equipos de Seguridad y Operaciones, y reglas de detección preconfiguradas alineadas con MITRE ATT&CK que cubren amenazas desde DDoS y ransomware hasta ataques de día cero. Las reglas de machine learning se añadieron para escenarios de ataque avanzados. ES|QL, el lenguaje de consulta de Elastic, permite a los analistas filtrar, agregar y analizar datos a través de series temporales directamente desde la interfaz de Kibana.
El cambio operativo fue inmediato. La búsqueda de logs que antes consumía horas ahora lleva minutos. Sapir Dagan, especialista en Seguridad de la Información, lo describió sin rodeos: si Elastic Security desapareciera, el equipo del SOC empezaría a reclamarlo a gritos. La analítica de autoservicio a través de Kibana permite a los grupos técnicos de toda la organización gestionar y detectar amenazas de forma autónoma, reduciendo la carga sobre el equipo central de Datos de Seguridad. En conjunto, el banco redujo el tiempo de detección y análisis de logs en un 60%, el tiempo de resolución de incidentes de seguridad en un 50% y el coste total de propiedad en un 40% al consolidar su SIEM y las operaciones de registro de datos en una única plataforma.
Bank Leumi está migrando su infraestructura a AWS, con planes de trasladar Elastic al mismo entorno en la nube. El equipo tiene previsto utilizar snapshots con búsqueda de Elastic y buckets de S3 para ampliar la disponibilidad y retención de datos, y espera que el ritmo constante de nuevas funcionalidades y reglas de detección de Elastic Security mantenga su postura defensiva a medida que el panorama de amenazas evolucione.
AWS