©2024 Akamai Technologies
Les enjeux
Avec plus de 6 000 ordinateurs portables déployés dans toute l'entreprise, l'équipe de sécurité informatique était de plus en plus préoccupée par les risques que représentait le parc pour l'environnement informatique au sens large. En outre, il était nécessaire de résoudre les problèmes persistants liés à l'activité informatique fantôme de certains utilisateurs expérimentés de l'entreprise.
Bien que l'équipe informatique des utilisateurs finaux avait instauré certaines mesures de sécurité, celles-ci étaient limitées. Aucune ne pouvait contrôler de manière granulaire l'accès au système pour les utilisateurs ou limiter la communication P2P pour empêcher efficacement la propagation des logiciels malveillants, ce dernier point étant une préoccupation importante de l'entreprise.
Pour combler ces lacunes, les décisionnaires souhaitaient renforcer la sécurité de l'entreprise en adoptant une solution visant à étendre la visibilité et les contrôles de segmentation granulaires aux terminaux des employés. Elle leur permettrait en outre de mieux observer et prévenir les mouvements latéraux non autorisés.
La solution
Depuis un certain temps, les décisionnaires en matière de sécurité envisageaient d'utiliser la plateforme Guardicore Centra pour de multiples cas d'utilisation de cybersécurité. L'entreprise a finalement décidé d'adopter une approche progressive. Étant donné que les politiques de segmentation logicielles de Guardicore ne sont pas liées à l'infrastructure sous-jacente, le fournisseur a eu la possibilité de s'attaquer à un certain nombre d'initiatives de sécurité. Cependant, le parc d'ordinateurs portables des employés étant identifié comme à haut risque, l'équipe a accordé la priorité au déploiement d'agents Guardicore au niveau de ses points de terminaison.
Les résultats
Une fois le projet lancé, l'agent Windows rationalisé de Guardicore a rapidement été déployé sur les ordinateurs de l'organisation. Cela a étendu la visibilité au niveau des processus à l'accès des utilisateurs et à l'activité des ordinateurs portables.
L'équipe de sécurité informatique a ensuite pu créer et gérer des contrôles de sécurité pour ces points de terminaison de manière centralisée, tous basés sur des données environnementales précises. Elle a ensuite pu rapidement mettre en place plusieurs stratégies, notamment une alerte pour les activités spécifiques du protocole RDP (Microsoft Remote Desktop Protocol), y compris les tentatives de connexion ratées.
Visibilité granulaire en action
Peu de temps après le déploiement, la règle configurée pour signaler une activité anormale liée au protocole RDP a généré une série d'alertes. Au vu des nombreux échecs de connexion successifs, il est vite devenu évident qu'un acteur malveillant tentait une attaque en force.
L'équipe de sécurité informatique a surveillé de près la situation et, alors que les attaquants progressaient, elle est passée à l'action et a bloqué le RDP sur chaque point de terminaison avec un agent Guardicore. En seulement quelques clics, elle a créé et appliqué une nouvelle politique de segmentation qui a désactivé le RDP, mettant ainsi un terme à l'attaque avant qu'un seul point de terminaison ne soit compromis.
Une attaque ransomware arrêtée en plein élan
Au cours de l'analyse rétrospective, l'équipe de sécurité s'est rapidement rendue compte que tous les indicateurs pointaient vers un acteur majeur et bien connu de la menace ransomware.
Si la campagne avait réussi, les attaquants auraient probablement déployé leur tactique habituelle, qui consiste à crypter tout ce qui est à leur portée avant de demander une rançon. En raison de la taille organisationnelle du fournisseur et des tendances actuelles, les demandes de l'acteur malveillant auraient certainement dépassé 1 million de dollars. Cela aurait entraîné des perturbations et des temps d'arrêt supplémentaires importants si des actifs critiques pour l'entreprise, tels que le système ERP, avaient été compromis.
Cependant, grâce à Guardicore et à l'équipe de sécurité qui a su agir rapidement, la tentative d'attaque n'a pas eu d'impact sur l'organisation.
Contrer l'informatique fantôme
En plus de stopper les menaces externes, la plateforme a également permis à l'équipe de relever les défis internes. Avant Guardicore, la visibilité limitée sur les points de terminaison permettait à certains utilisateurs de contourner plus facilement les processus officiels, en exécutant de leur propre chef des activités non conformes aux politiques officielles de l'entreprise. Cette nouvelle visibilité et la capacité à appliquer des contrôles de sécurité sur les points de terminaison ont permis à l'équipe de sécurité informatique d'endiguer l'informatique fantôme. Elle a notamment pu interdire aux membres de l'organisation DevOps d'utiliser de nouvelles ressources sans passer par les canaux officiels pour obtenir une autorisation.
Protection étendue avec Guardicore
Pour le fournisseur d'infrastructure de communication, la protection des points de terminaison ne constitue qu'une première étape. Il prévoit d'explorer bientôt de nouvelles fonctionnalités et de déployer Guardicore dans son centre de données, de sécuriser son environnement Citrix et d'appliquer des contrôles d'accès tiers pour les fournisseurs externes.
Grâce à la nature flexible de la plateforme, l'équipe est certaine de pouvoir étendre la protection contre les menaces avancées partout dans l'environnement, quelle que soit l'évolution future de la stratégie des fusions et acquisitions, ou des initiatives de transformation digitale.