©2024 Akamai Technologies
El desafío
Con más de 6000 ordenadores portátiles distribuidos por toda la organización, el equipo de seguridad de TI cada vez estaba más preocupado por el riesgo que suponía la flota para el entorno de TI en general. Además, debían hacer frente a los problemas recurrentes de actividad de TI en la sombra que llevaban a cabo algunos usuarios expertos de la empresa.
Aunque el equipo de informática para usuario final ya había implementado algunas medidas de seguridad, estas eran limitadas. Ninguna de ellas podía controlar con precisión el acceso al sistema de los usuarios o limitar la comunicación punto a punto para detener la propagación del malware de manera eficaz; este último aspecto preocupaba especialmente a la organización.
Para abordar estas deficiencias, las partes involucradas querían mejorar la estrategia de seguridad de la empresa mediante la adopción de una solución que les permitiera implementar visibilidad y controles precisos de segmentación en los dispositivos de los empleados. Esto también les ofrecería la posibilidad de vigilar y evitar el movimiento lateral no deseado..
Solución
Durante un tiempo, las partes implicadas en la seguridad se habían planteado utilizar la plataforma Guardicore Centra para varios casos de uso de ciberseguridad. Finalmente, la organización decidió adoptar un enfoque por fases. Dado que las políticas de segmentación definidas por software de Guardicore no dependen de ninguna infraestructura subyacente, el proveedor tenía la posibilidad de abordar un número ilimitado de iniciativas de seguridad. Sin embargo, como la flota de ordenadores portátiles de empleados se había identificado como un punto de alto riesgo, el equipo dio prioridad a la implementación de agentes de Guardicore en los terminales.
Los resultados
Una vez iniciado el proyecto, se implementó rápidamente el agente para Windows optimizado de Guardicore en los ordenadores de la empresa. Esta medida permitió obtener visibilidad a nivel de proceso sobre el acceso de los usuarios y la actividad de los ordenadores portátiles.
De este modo, el equipo de seguridad de TI pudo crear y gestionar los controles de seguridad de los terminales de forma centralizada y basándose en datos precisos sobre el entorno. Poco después, se establecieron varias políticas, incluida una alerta sobre actividades específicas del protocolo de escritorio remoto (RDP) de Microsoft que también detecta los intentos fallidos de inicio de sesión.
Visibilidad precisa en acción
Poco después de la implementación, la política configurada para informar de cualquier actividad inusual relacionada con el RDP envió una oleada de alertas. Enseguida fue evidente que un agente malicioso estaba intentando un ataque de fuerza bruta ya que se observó un inicio de sesión fallido tras un inicio de sesión fallido.
El equipo de seguridad de TI siguió de cerca la situación y, dado que los atacantes seguían insistiendo, tomó la decisión de bloquear el RDP de todos los terminales con un agente de Guardicore. Con tan solo unos clics, el equipo de TI creó y aplicó una nueva política de segmentación que inhabilitó el RDP y logró detener al atacante antes de que ningún terminal estuviera en peligro.
Detención del avance del ransomware
Durante el análisis post mortem, el equipo de seguridad pronto descubrió que todos los indicadores apuntaban a un importante y conocido agente de amenazas de ransomware.
Si la campaña hubiera tenido éxito, es probable que los atacantes hubieran intentado aplicar sus tácticas habituales, es decir, cifrar cualquier cosa que esté a su alcance para luego pedir un rescate. Teniendo en cuenta el tamaño de la organización del proveedor y las tendencias actuales, el rescate exigido por el atacante probablemente habría superado el millón de dólares. Además, si los activos esenciales para el negocio, como los sistemas de planificación de recursos empresariales (ERP), se hubieran visto afectados, el ataque habría provocado importantes interrupciones y tiempo de inactividad adicionales.
Sin embargo, gracias a la rápida actuación del equipo de seguridad y a Guardicore, el intento de ataque no afectó a la organización de ningún modo.
Detención de recursos de TI en la sombra
Además de detener las amenazas externas, el equipo también pudo hacer frente a los desafíos internos a través de la plataforma. Antes de utilizar Guardicore, la visibilidad limitada de los terminales permitía a algunos usuarios eludir los procesos oficiales y realizar actividades por su cuenta que no cumplían con las políticas oficiales de la organización. La nueva información y la capacidad de implementar controles de seguridad en los terminales permitieron al equipo de seguridad de TI frenar estas actividades de TI en la sombra. Esto incluía evitar que los miembros de la organización de DevOps utilizaran nuevos recursos sin que estos pasaran por los canales oficiales para su autorización.
Ampliación de la protección con Guardicore
Para el proveedor de infraestructura de comunicaciones, la protección de los terminales solo es el principio. Tiene previsto explorar en breve más funciones nuevas e implementar Guardicore en su centro de datos, proteger su entorno de Citrix y aplicar controles de acceso de terceros para proveedores externos.
Gracias a la naturaleza flexible de la plataforma, el equipo tiene la seguridad de que puede ampliar la protección contra amenazas avanzadas en cualquier ubicación del entorno, sin que el futuro de la estrategia de fusiones y adquisiciones o de las iniciativas de transformación digital sea un impedimento.