©2024 Akamai Technologies
挑战
整个企业中部署的笔记本电脑已超过 6000 台,IT 安全团队越来越担心机群给日渐庞大的 IT 环境带来风险。此外,该公司一些高级用户的影子 IT 活动持续出现问题,亟待解决。
尽管最终用户计算团队已经采取了一些安全措施,但效果有限。他们都无法做到对用户的系统访问进行精细控制,也无法限制对等连接通信以有效阻止恶意软件传播,而后者是企业面临的一个重大问题。
为解决这些漏洞,利益相关者希望通过引入一款解决方案来改进企业的安全态势,借助该解决方案,他们能够将监测和精细分段控制扩展到员工设备。此外,他们还能发现并阻止未经授权的 横向移动。
解决方案
一段时间以来,安全利益相关者一直在考虑将 Guardicore Centra 平台用于多个网络安全使用场景。该企业最终决定采取分阶段方法。由于 Guardicore 的软件定义的分段策略与底层基础架构并无关联,因此该提供商可以选择实施任意数量的安全举措。然而,由于员工笔记本电脑机群被确定为高风险,该团队优先将 Guardicore 代理部署到其端点。
结果
该项目开始后,Guardicore 简化的 Windows 代理就很快部署到了企业的计算机上。这样就将进程级监测范围扩展到了用户访问和笔记本电脑活动。
然后,IT 安全团队能够针对这些端点集中创建和管理安全管控措施,而所有这些都以准确的环境数据为基础。然后,他们立即制定了几条策略,包括针对特定的 Microsoft 远程桌面协议 (RDP) 活动(如登录尝试失败)发出警报。
精细监测的实际应用
部署后不久,所配置的用于报告 RDP 异常活动的策略就发出了一系列告警。很快真相大白,恶意攻击者在发现一次又一次登录失败后,试图实施 暴力破解攻击 。
IT 安全团队密切监控这一情况,在发现攻击者持续深入展开攻击后,他们决定果断采取行动,并利用 Guardicore 代理阻止每个端点上的 RDP。只需点击几下,他们就制定并实施了一个新的分段策略。该策略禁用了 RDP,在任何端点遭受破坏之前,就及时阻止了攻击者。
阻断勒索软件
事后,安全团队很快意识到所有指征都指向一个众所周知且影响范围极大的勒索软件攻击者。
如果行动成功,攻击者可能会试图继续他们惯用的把戏,在发出赎金通知之前加密一切可及的内容。鉴于提供商的组织规模和当前趋势,恶意攻击者的要求肯定会超过 100 万美元。如果 ERP 系统等业务关键型资产受损,将带来严重的中断和停机。
然而,多亏安全团队和 Guardicore 的快速应对,这次攻击尝试并未对企业产生任何影响。
阻止影子 IT
除了阻止外部威胁,该团队还能利用该平台应对内部挑战。在 Guardicore 之前,端点监测的范围有限,因此一些用户可以轻松避开官方流程,自行开展不符合企业官方政策的活动。采用新的见解和功能来对端点实施安全管控后,IT 安全团队能够遏制影子 IT。这包括阻止 DevOps 企业成员在未经官方渠道授权的情况下启动新资源。
利用 Guardicore 扩大保护范围
对于通信基础架构提供商来说,保护端点仅仅是开始。很快,该提供商便计划探索更多新功能,在其数据中心部署 Guardicore,保护其 Citrix 环境,并为外部供应商应用第三方访问控制。
凭借该平台的灵活性,IT 安全团队可以保证,无论未来如何推进其并购战略或数字化转型计划,他们都能够扩大保护范围,随时随地抵御环境中的高级威胁。