De un vistazo
- Eligieron Aikido porque ninguna otra herramienta en el mercado señalaba el software al final de su vida útil.
- Automatizaron el triaje diario de entre 40 y 50 hallazgos, ahorrando al equipo al menos una hora al día.
- Reemplazaron un conjunto heterogéneo de herramientas puntuales, incluyendo un proveedor independiente de monitorización de la dark web, con una única plataforma.
- Obtuvieron cobertura para Scala que otros escáneres no podían igualar.
- Implementaron todas las funcionalidades en pocos días, mientras que las herramientas antiguas tardaban días o semanas en configurar solo una.
- Liberaron al equipo para dedicar tiempo a la respuesta a incidentes y a las correcciones en lugar del triaje manual.
Desafío.
Kristina Holovka es ingeniera de vulnerabilidades e incidentes en Cognism, una empresa de inteligencia de ventas B2B con sede en Londres. Cognism gestiona grandes volúmenes de datos de contacto empresarial para miles de equipos de ventas, por lo que la seguridad y el cumplimiento están muy ligados al producto. El equipo de Kristina se encarga de la respuesta a vulnerabilidades e incidentes. Gestionan las alertas, deciden qué se debe corregir y trabajan con ingeniería para llevarlo a cabo.
Una laguna lo condicionaba todo antes de Aikido. Nada en el stack señalaba el software al final de su vida útil, los paquetes obsoletos y las versiones de lenguajes no compatibles que, silenciosamente, se convierten en una superficie de ataque sin parchear. Encontrarlos significaba revisar los repositorios manualmente o detectarlos por accidente. Para un equipo responsable de la postura de seguridad en toda la base de código, era un punto ciego que no podían cerrar con las herramientas que tenían.
"No teníamos una herramienta que detectara el software al final de su vida útil. Aikido era la única en el mercado que lo hacía."
La configuración general era un conjunto heterogéneo. Seguridad utilizaba varias herramientas separadas, aproximadamente una por funcionalidad, sin nada que las uniera. Cada una tenía un modo de fallo. Algunas eran demasiado ruidosas, inundando al equipo con hallazgos que tardaban horas en revisar. Otras eran demasiado silenciosas, pasando por alto problemas reales porque carecían de las reglas para cubrir partes del stack de Cognism. Un proveedor independiente se encargaba de la monitorización de la dark web para credenciales filtradas, lo que significaba una consola más que revisar. Y poner en marcha cualquiera de ellas era lento. Configurar una única capacidad como SAST podía llevar días o semanas.
"Algunos proveedores eran demasiado ruidosos, así que dedicábamos mucho tiempo a revisar los hallazgos. Otros eran demasiado silenciosos, sin suficientes reglas, por ejemplo para Scala."
Solución
Aikido reemplazó el conjunto heterogéneo. El equipo integró su escaneo de código, la detección de software al final de su vida útil y el feed de la dark web en una única plataforma y la tuvo funcionando en pocos días. El contraste con la configuración anterior era marcado. Lo que antes tardaba días o semanas en configurarse para una sola capacidad, ahora cubría todo en el mismo corto período de tiempo.
"Configurar nuestras herramientas antiguas llevaba días o semanas. Aikido se habilitó en pocos días para todo.""
La detección se adaptó al stack de Cognism en lugar de oponerse a él. El equipo escribe en Scala, un lenguaje que varios escáneres manejan mal porque no es muy utilizado. Esa era la misma laguna que había dejado a sus herramientas antiguas demasiado silenciosas, pasando por alto problemas que deberían haber detectado. Aikido detectó Scala correctamente, y eso por sí solo descartó algunas de las herramientas de su lista. Un escáner que cubre los lenguajes que realmente se despliegan permite a un equipo de seguridad confiar en los resultados en lugar de dudar de ellos.
"Muchos proveedores no cubren Scala porque no es muy utilizado. Aikido lo detecta bien.""
El cambio diario más claro fue el triaje. Cada día, entre 40 y 50 nuevos hallazgos solían llegar al equipo, cada uno revisado manualmente para distinguir los problemas reales del ruido. AutoTriage, AutoFix y el análisis de alcanzabilidad asumen ahora esa carga. La alcanzabilidad es lo más importante aquí, ya que filtra los hallazgos que no son aplicables porque el código vulnerable no es alcanzable, por lo que el equipo deja de perseguir problemas que nunca fueron un riesgo real. Lo que queda llega ya clasificado, y el equipo recupera al menos una hora cada día.
"Solíamos hacer el triaje de 40 a 50 hallazgos al día manualmente. Aikido lo hace por nosotros ahora y nos ahorra al menos una hora al día."
La brecha original se cerró en el proceso. Donde el equipo antes revisaba repositorios buscando paquetes obsoletos y versiones de lenguaje no compatibles, ahora abren una pestaña y ven lo que necesita actualizarse. El trabajo que antes dependía de que alguien se acordara de buscar, ahora está simplemente disponible cuando lo necesitan.
"Ahora solo abro la pestaña y veo lo que necesita actualizarse."
Por qué Cognism eligió Aikido
- Detección de fin de vida útil que ningún otro proveedor de la lista corta ofrecía.
- Cobertura de lenguajes que se ajustaba a su stack, incluyendo Scala, donde otras herramientas se quedaban cortas.
- AutoTriage, AutoFix y análisis de alcanzabilidad que liberaron al equipo del triaje diario.
- Monitorización de la dark web en la misma vista que los hallazgos de código, reemplazando a un proveedor independiente.
Resultados
Automatizar los 40 o 50 hallazgos diarios devuelve al equipo al menos una hora cada día, y el trabajo manual que solía ocupar las mañanas ha desaparecido en gran medida. Con menos falsos positivos que perseguir, ese tiempo se destina al trabajo real del equipo: responder a incidentes y trabajar con ingeniería en las correcciones importantes. Los problemas también se resuelven más rápido, porque los hallazgos llegan triados y priorizados en lugar de en bruto.
"Gran parte del trabajo manual ha desaparecido y resolvemos los problemas más rápido. Las horas que recuperamos se destinan a un trabajo más importante."
Integrar la monitorización de la dark web de un proveedor independiente fue la pieza más clara de consolidación, pero no la única. El escaneo de código, la detección de fin de vida útil, la alcanzabilidad y la fuente de credenciales filtradas ahora residen en un solo lugar, y ahí es donde el equipo comienza el día. En lugar de moverse entre consolas que informaban cada una a su manera, trabajan desde una vista única de lo que requiere atención.
La colaboración ha sido muy activa. Las solicitudes llegan directamente a la dirección de Aikido, y el equipo ha obtenido respuestas y soluciones en menos de un día. Para un equipo de seguridad que debe actuar con rapidez, un proveedor que responde a ese ritmo es una parte real del valor.
"Recibimos feedback directamente del CEO y CRO, algo que nunca habíamos tenido en ningún otro lugar. Cada solicitud fue respondida y cada tarea realizada en menos de 24 horas."
Cómo Cognism está ampliando su uso de Aikido
Ya en uso
- Detección de fin de vida útil.
- Escaneo SAST y SCA con análisis de alcanzabilidad.
- AutoTriage y AutoFix.
- Monitorización de la dark web para credenciales filtradas.
Planeando adoptar
- Protección de dispositivos, para ver los paquetes y extensiones instalados en las máquinas de los desarrolladores, una cobertura que, según el equipo, otras herramientas de endpoint no ofrecen.
- Safe Chain, que se implementará para los desarrolladores.
Veredicto final
"Más tiempo, menos falsos positivos y más tiempo para centrarse en lo que importa."

