Cómo THG Redujo el Tiempo de Respuesta de Seguridad un 60% con la Detección ML de Elastic
THG (anteriormente The Hut Group) es una empresa de comercio electrónico con sede en el Reino Unido e ingresos superiores a 2.000 millones de libras, que vende cosméticos de marca propia y de terceros, suplementos dietéticos y artículos de lujo online, además de proporcionar infraestructura de ecommerce a terceros a través de su división Ingenuity. Ante una superficie de amenaza en rápida expansión a medida que crecía mediante adquisiciones y sumaba plataformas SaaS, THG desplegó Elastic Security como su SIEM unificado, utilizando capacidades de aprendizaje automático para detectar nuevos vectores de ataque y automatización para eliminar la sobrecarga de triaje manual. El resultado: el tiempo medio de respuesta a eventos de seguridad cayó un 60%, la carga de triaje de primera línea bajó del 90% al 50% del tiempo de los analistas, y los costes de almacenamiento físico se redujeron un 60% gracias a la estratificación inteligente de datos.
Impacto
60%
Reducción del tiempo medio de respuesta (MTTR)
From 90% to 50% of analyst time
Reducción del tiempo de triaje de primera línea
60%
Reducción de costes de almacenamiento
25,000
Eventos ingeridos por segundo
Desafío
El stack de ecommerce y tecnología de THG se expandía rápidamente mediante adquisiciones, creando más de 100 fuentes de datos fragmentadas con formatos de registro incompatibles que obligaban a los analistas a dedicar hasta el 90% de su tiempo al triaje de primera línea y dejaban a la empresa expuesta a amenazas por debajo del umbral de detección basada en reglas.
Solución
THG desplegó Elastic Security como SIEM unificado, ingiriendo 25.000 eventos por segundo de más de 100 fuentes en un esquema común, utilizando aprendizaje automático para la detección de anomalías y playbooks automatizados integrados con SOAR para reducir el tiempo de triaje de los analistas y acelerar la resolución de incidentes.
Herramientas y tecnologías
Lo que dicen los líderes
“Con Elastic, podemos añadir nuevas fuentes de datos en cualquier momento. Ahora recibimos hasta 25.000 eventos por segundo de unos 100 feeds distintos. Todo ello suma terabytes de datos que podemos usar para mejorar la seguridad y el rendimiento del negocio.”
“Elastic es mucho más que una herramienta de recopilación de registros. Añade funcionalidades y valor que marcan una diferencia real en la seguridad del negocio.”
Regístrate para leer casos de estudio completos, acceder a métricas detalladas y recibir todos los reportes.
Historia completa
El rápido crecimiento de THG a través de adquisiciones creó un reto de seguridad que los enfoques tradicionales de múltiples proveedores no podían gestionar. A medida que la empresa ampliaba su stack tecnológico para incluir un número creciente de plataformas SaaS y una arquitectura de confianza cero, cada nuevo sistema incorporaba su propio formato de registro, interfaz y lenguaje de consulta. Los analistas de seguridad cambiaban de contexto constantemente, dedicando hasta el 90% de su tiempo al triaje de primera línea, un patrón que frenaba la búsqueda proactiva de amenazas y la ingeniería de detección que el negocio necesitaba.
El problema central era la fragmentación: THG ingería registros de aproximadamente 100 fuentes de datos distintas a una velocidad de hasta 25.000 eventos por segundo, pero ninguna plataforma podía correlacionar, consultar y actuar sobre esos datos de forma eficiente. Los costes de almacenamiento del volumen de datos de seguridad también eran significativos, requiriendo hardware costoso para mantener niveles de datos calientes y templados que raramente se accedían pero debían conservarse por cumplimiento normativo.
THG desplegó Elastic Security como sustituto de su stack fragmentado de múltiples proveedores, consolidando todas las operaciones de seguridad en una única interfaz. La plataforma ingiere datos de más de 100 fuentes, ofreciendo a los analistas un esquema unificado para consultar toda la organización —telemetría de dispositivos, datos de phishing, inteligencia de amenazas y alertas de SOAR— en un único lenguaje. El aprendizaje automático se ejecuta continuamente para detectar anomalías, incluidos patrones de fraude, indicadores de brechas de datos y firmas de denegación de servicio que quedan por debajo del umbral de detección basada en reglas. La integración de Elastic con la plataforma SOAR de THG permitió la ejecución automatizada de playbooks, de modo que cuando se identifica un patrón de amenaza, los pasos de remediación se inician automáticamente sin esperar la intervención del analista.
El cambio en el perfil operativo fue sustancial. El tiempo medio de respuesta cayó un 60%. El tiempo de los analistas dedicado al triaje de primera línea bajó del 90% al 50%, liberando al equipo de seguridad para centrarse en la búsqueda de amenazas, la ingeniería de detección e iniciativas de seguridad prospectivas. Los costes de almacenamiento de datos a los que se accede con poca frecuencia —ahora en los niveles frío y congelado de Elastic mediante snapshots con capacidad de búsqueda— cayeron un 60%, reduciendo significativamente la dependencia del hardware sin sacrificar la accesibilidad.
Para el Director de Seguridad de THG, el valor va más allá de las métricas de respuesta a incidentes. Los dashboards de Elastic son ahora visibles en distintas áreas del negocio, integrando la conciencia de seguridad en los equipos operativos. La flexibilidad de la plataforma significa que a medida que THG adquiere nuevas empresas con stacks tecnológicos diferentes, estas entidades pueden integrarse en la misma arquitectura de seguridad sin rediseñar la capa de detección. En un entorno de ecommerce donde la confianza del cliente y la integridad de las transacciones son fundamentales, la inversión de THG en seguridad unificada impulsada por ML representa un habilitador directo del negocio.
