©2024 Akamai Technologies
O desafio
Maior acesso remoto
A COVID-19 levou a um aumento das necessidades de acesso remoto neste fornecedor de serviços financeiros, e grande parte do pessoal de TI do banco passou a trabalhar em casa em dispositivos gerenciados pela empresa. À medida que os usuários começaram a acessar os dados e as aplicações necessárias para suas funções por meio de algo diferente da rede corporativa segura, a superfície de ataque da organização cresceu rapidamente.
Incidente de ransomware bem-sucedido
Logo após a transição para um modelo de trabalho em casa, um ataque de ransomware bem-sucedido atingiu um banco de dados Oracle Cloud essencial no banco, que eles descobririam mais tarde como originário de um ambiente VDI. As equipes de segurança e TI sabiam que precisavam tomar medidas rápidas para limitar a perda de dados financeiros confidenciais. Além disso, eles entenderam que, se não pudessem determinar e proteger o vetor de ataque original, haveria um risco real de o ransomware se espalhar lateralmente para os servidores de backup e o ambiente de produção da organização. Se isso acontecesse, o banco certamente seria afetado por perdas financeiras e de dados significativas.
A solução
A Akamai Guardicore Segmentation já estava sendo usada amplamente em outras áreas do banco. Antes do ataque de ransomware, a plataforma era responsável por gerenciar e aplicar as políticas de segmentação de mais de 23.000 servidores com cargas de trabalho abrangendo infraestrutura local, virtual, bare metal e VDI, bem como ambientes de contêiner Azure e OpenShift.
O banco já havia usado anteriormente o Akamai Guardicore Segmentation como uma solução de segmentação baseada em software para realizar diversas iniciativas de segurança e conformidade, incluindo o gerenciamento do acesso do administrador ao jumpbox e a segmentação de aplicações SWIFT. Como a equipe de resposta já conhecia o histórico da plataforma de fornecer excelente visibilidade e rapidez na elaboração de políticas, agiu rapidamente para aproveitar os recursos do Guardicore e enfrentar a violação.
A visibilidade proporcionada pelo Guardicore Centra foi um farol brilhante que afastou a escuridão!
Chefe de segurança de infraestrutura em um Grande Banco
Os resultados
Visibilidade no nível do processo
Usando a plataforma, a equipe de resposta do banco investigou fluxos históricos de comunicação. Eles rastrearam a introdução inicial do ransomware na comunicação de conexão VDI remota de um administrador de banco de dados com um Oracle Cloud Database.
Rapidez na implantação da política
Depois de identificar o vetor de ataque, a equipe acelerou a segmentação de VDI, tornando-a uma prioridade. O processo de planejamento de políticas começou em um sábado, usando os recursos de visibilidade do Guardicore para avaliar possíveis necessidades políticas. Na terça-feira seguinte, o banco tinha políticas aplicáveispara as mais de 3.000 conexões VDI com o Oracle Cloud.
Recuperação após ataque de ransomware
A equipe implantou agentes Guardicore na aplicação de backup e configurou o ringfencing da aplicação, definindo até o nível do processo o que poderia se comunicar com o ativo. Em seguida, implantaram na área violada, impedindo a propagação do ransomware usando regras globais de negação.
Para reduzir o risco adicional de acesso de funcionários remotos, também foram definidas políticas para as duas soluções de VDI usadas por funcionários de call centers, evitando ainda mais o movimento lateral não autorizado entre pontos de extremidade do banco.
Alcançar a aplicação da política de segmentação em apenas três dias permitiu que a organização de serviços financeiros reduzisse drasticamente o impacto doincidente de ransomware e melhorou significativamente a segurança do acesso remoto no futuro.