Precisa de computação em nuvem? Comece agora mesmo

Provedor de infraestrutura de comunicações detém ataques de ransomware imediatamente

Provedor de infraestrutura de comunicações dos EUA garante que empresas e moradores permaneçam conectados.

O desafio

Com mais de 6.000 notebooks utilizados em toda a organização, a equipe de segurança de TI tinha cada vez mais preocupações sobre o risco da frota ao ambiente de TI mais amplo. Além disso, problemas contínuos com a atividade TI sombra de alguns dos usuários avançados da empresa precisavam ser resolvidos.

Embora algumas medidas de segurança tivessem sido aplicadas pela equipe de computação de usuários finais, elas eram limitadas. Nenhuma delas conseguiu controlar de forma granular o acesso de usuários ao sistema ou limitar a comunicação ponto a ponto para interromper a propagação do malware de forma eficaz, que representa uma grande preocupação na organização.

Para lidar com essas lacunas, as partes interessadas queriam melhorar a postura de segurança da empresa, introduzindo uma solução que permitisse estender a visibilidade e os controles de segmentação granulares para os dispositivos dos funcionários. Isso também garantiria a capacidade de observar e evitar movimentações lateraisnão autorizadas.

                                                                                                                       

A solução

Durante algum tempo, as partes responsáveis pela segurança estiveram considerando o uso da plataforma Guardicore Centra para vários casos de uso de cibersegurança. A organização finalmente optou por uma abordagem em fases. Como as políticas de segmentação definidas por software da Guardicore não estão vinculadas à infraestrutura subjacente, o provedor tinha a opção de tratar com qualquer número de iniciativas de segurança. No entanto, a frota de notebooks dos funcionários foi identificada como de alto risco. Por isso, a equipe priorizou a implantação de agentes Guardicore nos pontos de extremidade.

                                                                       

Os resultados                                                                      

Assim que o projeto começou, a implantação do agente Windows simplificado da Guardicore nos computadores da organização foi rápida. Isso aumentou a visibilidade a nível de processo quanto ao acesso de usuários e atividades de notebooks.

A equipe de segurança de TI conseguiu criar e gerenciar controles de segurança para esses pontos de extremidade centralmente, tudo com base nos dados precisos do ambiente. Em seguida, ela configurou rapidamente várias políticas, inclusive um alerta sobre atividades específicas do Remote Desktop Protocol (RDP) da Microsoft, incluindo tentativas de login malsucedidas.

                                                                       

Visibilidade granular em ação

Em um curto período de tempo após a implantação, a política configurada para relatar atividades incomuns relacionadas ao RDP forneceu uma série de alertas. Ficou óbvio que um invasor estava tentando um ataque de força bruta do tipo "falha de login" após casos de login inválido.                            

A equipe de segurança de TI acompanhou atentamente a situação e, à medida que os invasores continuaram o ataque, tomou a decisão de bloquear o RDP em cada ponto de extremidade com um agente Guardicore. Com apenas alguns cliques, a equipe criou e aplicou uma nova política de segmentação que desativava o RDP, interrompendo o invasor antes que um único ponto de extremidade fosse comprometido.

                                                                       

O ransomware foi interrompido imediatamente

Durante o processo post mortem, a equipe de segurança rapidamente percebeu que todos os indicadores apontavam para um importante e conhecido agente de ameaça de ransomware.

Se a campanha tivesse sido bem-sucedida, os invasores provavelmente tentariam prosseguir com suas táticas habituais, criptografando tudo ao seu alcance antes de emitir um pedido de resgate. Devido ao porte da organização do fornecedor e às tendências atuais, as exigências dos invasores teriam certamente ultrapassado US$ 1 milhão. Se os ativos essenciais aos negócios, como o sistema ERP, tivessem sido comprometidos, isso seria acompanhado pela interrupção e tempo de inatividade significativos.

No entanto, graças à ação rápida da equipe de segurança e à Guardicore, a tentativa de ataque não causou impactos na organização.

                                                                       

Interrupção da TI sombra

Além de impedir ameaças externas, a equipe também conseguiu lidar com desafios internos usando a plataforma. Antes da Guardicore, a visibilidade dos pontos de extremidade era limitada. Por isso, alguns usuários tinham mais facilidade para burlar processos oficiais, executando atividades por conta própria que não estavam em conformidade com as políticas oficiais da organização. A nova percepção e a capacidade de impor controles de segurança em pontos de extremidade permitiram que a segurança de TI restringisse a TI sombra. Isso incluiu impedir que os membros da organização DevOps ativassem novos recursos sem a autorização dos canais oficiais.     

                                                                 

Expandindo a proteção com a Guardicore                                           

Para o provedor da infraestrutura de comunicações, a proteção dos pontos de extremidade é apenas o começo. Em breve, ele planeja explorar novos recursos e implementar o Guardicore em seu data center, proteger seu ambiente Citrix e aplicar controles de acesso de terceiros para fornecedores externos.                                                                    

Com a natureza flexível da plataforma, a equipe tem a garantia de que pode estender a proteção contra ameaças avançadas em qualquer lugar do ambiente, independentemente de como suas estratégias de fusão e aquisição ou iniciativas de transformação digital acontecerão no futuro.

 


Histórias de clientes relacionadas

Segurança

Líder em publicidade em TV conectada

Uma empresa que lidera a publicidade em TV conectada qualificou-se para o recebimento de seguro cibernético, detectou e evitou ataques e protegeu sua propriedade intelectual de maneira mais eficiente com a microssegmentação.
Leia mais
Segurança

Daiwa Institute of Research

O grupo de pesquisa japonês Daiwa Institute of Research implantou a Akamai Guardicore Segmentation para melhorar a segurança e o gerenciamento de rede.
Leia mais
Segurança

DOUGLAS Group

O DOUGLAS Group, varejista com uma receita de bilhões de dólares, conta com a Akamai para otimizar o desempenho e a proteção de seu website.
Leia mais