Estudio de caso de inteligencia sobre amenazas cibernéticas: Church & Dwight

David Ortiz es el director de seguridad de la información (CISO) de Church & Dwight, la empresa detrás de marcas como ARM & HAMMER, Trojan, OxiClean, OraJel y otros productos. Como CISO, el objetivo principal de David es supervisar la ciberseguridad, la gestión de riesgos de TI, las operaciones de privacidad de datos y gestionar los riesgos de la empresa para mantener un liderazgo informado.

A diferencia de un analista de inteligencia de amenazas que analiza la inteligencia y la mitigación del día a día, a David le preocupa el impacto general de la ciberseguridad en las empresas. «No queremos hablar demasiado sobre widgets y tecnología, queremos hablar más sobre el impacto empresarial general».

EL RETO

La inteligencia sobre amenazas eficaz requiere una progresión sistemática de noticias, pero puede llevar mucho tiempo.

Todos los días, David busca indicadores de que pueda haber habido un ciberataque crítico en algún lugar de la cadena de suministro de Church & Dwight. Con esa información, puede informar a la gerencia sobre las implicaciones comerciales. Church & Dwight tiene una gran red de proveedores que incluyen fabricantes, fabricantes y vendedores por contrato. La empresa debe realizar un seguimiento de lo que sucede a lo largo de la cadena de suministro para proteger el negocio en todos los niveles.

Para mantenerse a la vanguardia de las noticias, David realiza una progresión sistemática de noticias todas las mañanas antes del scrum de las 9 a. m. de su equipo. Funciona a través de fuentes que incluyen:

• Fuentes de noticias específicas sobre ciberseguridad, como WSJ Pro Cybersecurity Cyber ​​Security Hub
• Twitter, Reddit y LinkedIn
• Periódicos nacionales y fuentes de noticias como el Wall Street Journal, The New York Times y 1440
• Wikipedia

Antes de utilizar Feedly, tuvo que visitar cada uno de estos sitios individualmente. Ahora, dice: “Es un lugar para la progresión de mis noticias. Puedo pasar por Feedly y verlo todo”. En lugar de recibir correos electrónicos de diferentes fuentes, David entrega sus newsletters a Feedly también.

Feedly te ahorra una hora al día. Es un lugar para mi progresión de noticias. puedo entra a Feedly y mira todo.

David Ortiz, CISO, Church & Dwight

EL PROCESO

Cómo David usó Feedly para monitorear las vulnerabilidades de log4j

La semana en que estalló la vulnerabilidad log4j en diciembre de 2021, las noticias de David se veían un poco diferentes a las de un día normal.

“Cuando me desperté el viernes por la mañana, nuestro proveedor de seguridad gestionada ya había enviado avisos a las 4 a. m., hora de la costa este. Vi esto y ya había iniciado sesión en Feedly y comencé a leer las noticias y lo vi publicar. Sabíamos que log4j llegaría y utilizamos las últimas noticias junto con nuestras actividades de respuesta a vulnerabilidades”.

El sábado después de que estalló la vulnerabilidad, comenzaron a llegar noticias. David recuerda: “Estaba buscando vulnerabilidades críticas y puntuaciones CVSS. Fue entonces cuando Feedly comenzó a hacer su magia: comenzamos a ver noticias propagadas y organizadas por Feedly AI».

David puede ver las vulnerabilidades de tendencia antes de que se asignen puntuaciones CVSS

Incluso antes de asignar una puntuación CVSS a una vulnerabilidad, Feedly AI estima una puntuación basada en los modelos de aprendizaje automático que utilizamos para priorizar las CVE. Y a medida que se desarrolló la historia y quedó claro que log4j era en realidad cuatro vulnerabilidades distintas, Feedly ayudó a demostrar que eran tendencia. David explica, «Cuando las otras vulnerabilidades todavía estaban en un nivel bajo, aún no elevadas a un nivel crítico o alto, Feedly me decía que era una tendencia. lo que significó que más gente hablaba de ello y se publicaban más artículos al respecto».

Cuando las otras vulnerabilidades todavía estaban en un nivel bajo (aún no elevadas a un nivel crítico o alto) Feedly me decía que era tendencia.

David Ortiz, CISO, Church & Dwight

David estaba viendo las noticias de Feedly y la Base de datos nacional de vulnerabilidades para ver si una vulnerabilidad específica estaba en tendencia y se estaba convirtiendo en una vulnerabilidad crítica. Si se identifica una vulnerabilidad crítica, determinará cómo responderán los equipos de seguridad de Church & Dwight a la vulnerabilidad.

David añade: “Feedly me ayudó a rastrear vulnerabilidades que aún no estaban clasificadas. Al observar las tendencias de vulnerabilidades y las puntuaciones CVSS estimadas en Feedly, pude estimar que eventualmente se les asignaría una calificación alta o crítica, y así fue.

EL IMPACTO

Usar Feedly como CISO para centralizar y optimizar la inteligencia sobre amenazas de código abierto

David eligió Feedly como la herramienta de inteligencia de amenazas de código abierto de su equipo por tres razones principales:

1. Quería una ubicación centralizada para reducir la sobrecarga de información para su equipo.
2. Quería un lugar donde su equipo pudiera compartir datos comunes y beneficiarse del conocimiento compartido.
3. Quería estar al frente de las noticias.

1. Ubicación centralizada para reducir la sobrecarga de información y la fatiga de las notificaciones.

David es muy consciente del impacto de la sobrecarga de información en su equipo y diseñó su configuración Feedly con esto en mente. «Feedly es un área común para compartir datos, por lo que no nos bombardeamos unos a otros con más noticias y más notificaciones».

David estableció estratégicamente dos directores Boletines automatizados para enviar y resumir noticias automáticamente, en lugar de enviar mensajes de texto únicos y mensajes de Slack que distraigan a su equipo.

• Un boletín semanal que se publica todos los viernes e incluye cualquier artículo que David y el equipo hayan guardado en Bord Feedly esa semana.
• Un boletín informativo de «última hora» que se envía automáticamente, pero solo cuando hay lo que el equipo considera noticias de última hora.

2. Un lugar para compartir datos comunes y evitar trabajos duplicados

En lugar de que todos los miembros de su equipo tengan fuentes de seguridad independientes y confiables, David y su equipo utilizan Feedly como área común para compartir esas fuentes de datos confiables. Esto significa que todos están en sintonía sobre la inteligencia de amenazas y la gestión de riesgos, y todo el equipo se beneficia de tener varias mentes inteligentes en ciberseguridad trabajando juntas.

3. Una forma de estar al frente de las noticias

Antes de adoptar Feedly como su herramienta de inteligencia de amenazas de código abierto, David continuó su «progresión de noticias» diaria a través de varias fuentes diferentes. Pero ahora puede consolidar su inteligencia en un solo lugar y simplificar el proceso.

Más allá de los feeds que organiza en Feedly, David consulta los Panel de inteligencia sobre amenazas cada día. «Él me trae información de que no tengo que ir a buscarla sola. En lugar de tener que crear tendencias manualmente o utilizar otras fuentes para crear tendencias, Feedly se encarga de eso por nosotros. David calcula que Feedly le ahorró una hora al día, lo que significa que puede avanzar más en la hoja de ruta de seguridad y los proyectos de reducción de riesgos de Church & Dwight.

¿Qué sigue para este CISO?

Cuando una vulnerabilidad crítica no está al frente y al centro, David se concentra en proyectos en la hoja de ruta de seguridad de la empresa, incluida la mitigación de riesgos y la protección de datos. «Feedly me ayuda a estar a la vanguardia de las noticias para poder ayudar a mantener segura la empresa».

¿Y qué sigue para el trabajo de David con Feedly? David continúa trabajando con su equipo en el proceso de recopilación de inteligencia sobre amenazas de código abierto. Espera con ansias la próxima función de boletines informativos personalizables (¡próximamente!), que hará que sea aún más fácil enviar consejos y personalizarlos con conocimiento interno.