©2024 Akamai Technologies
O desafio
Com mais de 6.000 notebooks utilizados em toda a organização, a equipe de segurança de TI tinha cada vez mais preocupações sobre o risco da frota ao ambiente de TI mais amplo. Além disso, problemas contínuos com a atividade TI sombra de alguns dos usuários avançados da empresa precisavam ser resolvidos.
Embora algumas medidas de segurança tivessem sido aplicadas pela equipe de computação de usuários finais, elas eram limitadas. Nenhuma delas conseguiu controlar de forma granular o acesso de usuários ao sistema ou limitar a comunicação ponto a ponto para interromper a propagação do malware de forma eficaz, que representa uma grande preocupação na organização.
Para lidar com essas lacunas, as partes interessadas queriam melhorar a postura de segurança da empresa, introduzindo uma solução que permitisse estender a visibilidade e os controles de segmentação granulares para os dispositivos dos funcionários. Isso também garantiria a capacidade de observar e evitar movimentações lateraisnão autorizadas.
A solução
Durante algum tempo, as partes responsáveis pela segurança estiveram considerando o uso da plataforma Guardicore Centra para vários casos de uso de cibersegurança. A organização finalmente optou por uma abordagem em fases. Como as políticas de segmentação definidas por software da Guardicore não estão vinculadas à infraestrutura subjacente, o provedor tinha a opção de tratar com qualquer número de iniciativas de segurança. No entanto, a frota de notebooks dos funcionários foi identificada como de alto risco. Por isso, a equipe priorizou a implantação de agentes Guardicore nos pontos de extremidade.
Os resultados
Assim que o projeto começou, a implantação do agente Windows simplificado da Guardicore nos computadores da organização foi rápida. Isso aumentou a visibilidade a nível de processo quanto ao acesso de usuários e atividades de notebooks.
A equipe de segurança de TI conseguiu criar e gerenciar controles de segurança para esses pontos de extremidade centralmente, tudo com base nos dados precisos do ambiente. Em seguida, ela configurou rapidamente várias políticas, inclusive um alerta sobre atividades específicas do Remote Desktop Protocol (RDP) da Microsoft, incluindo tentativas de login malsucedidas.
Visibilidade granular em ação
Em um curto período de tempo após a implantação, a política configurada para relatar atividades incomuns relacionadas ao RDP forneceu uma série de alertas. Ficou óbvio que um invasor estava tentando um ataque de força bruta do tipo "falha de login" após casos de login inválido.
A equipe de segurança de TI acompanhou atentamente a situação e, à medida que os invasores continuaram o ataque, tomou a decisão de bloquear o RDP em cada ponto de extremidade com um agente Guardicore. Com apenas alguns cliques, a equipe criou e aplicou uma nova política de segmentação que desativava o RDP, interrompendo o invasor antes que um único ponto de extremidade fosse comprometido.
O ransomware foi interrompido imediatamente
Durante o processo post mortem, a equipe de segurança rapidamente percebeu que todos os indicadores apontavam para um importante e conhecido agente de ameaça de ransomware.
Se a campanha tivesse sido bem-sucedida, os invasores provavelmente tentariam prosseguir com suas táticas habituais, criptografando tudo ao seu alcance antes de emitir um pedido de resgate. Devido ao porte da organização do fornecedor e às tendências atuais, as exigências dos invasores teriam certamente ultrapassado US$ 1 milhão. Se os ativos essenciais aos negócios, como o sistema ERP, tivessem sido comprometidos, isso seria acompanhado pela interrupção e tempo de inatividade significativos.
No entanto, graças à ação rápida da equipe de segurança e à Guardicore, a tentativa de ataque não causou impactos na organização.
Interrupção da TI sombra
Além de impedir ameaças externas, a equipe também conseguiu lidar com desafios internos usando a plataforma. Antes da Guardicore, a visibilidade dos pontos de extremidade era limitada. Por isso, alguns usuários tinham mais facilidade para burlar processos oficiais, executando atividades por conta própria que não estavam em conformidade com as políticas oficiais da organização. A nova percepção e a capacidade de impor controles de segurança em pontos de extremidade permitiram que a segurança de TI restringisse a TI sombra. Isso incluiu impedir que os membros da organização DevOps ativassem novos recursos sem a autorização dos canais oficiais.
Expandindo a proteção com a Guardicore
Para o provedor da infraestrutura de comunicações, a proteção dos pontos de extremidade é apenas o começo. Em breve, ele planeja explorar novos recursos e implementar o Guardicore em seu data center, proteger seu ambiente Citrix e aplicar controles de acesso de terceiros para fornecedores externos.
Com a natureza flexível da plataforma, a equipe tem a garantia de que pode estender a proteção contra ameaças avançadas em qualquer lugar do ambiente, independentemente de como suas estratégias de fusão e aquisição ou iniciativas de transformação digital acontecerão no futuro.