.png)
Cómo la segmentación beneficia a las compañías de recuperación y RI en la respuesta a incidentes
A pesar del gasto récord en seguridad, las infracciones siguen siendo comunes. En su reporte Cost of a Data Breach de 2022, IBM entrevistó a cientos de organizaciones que fueron violadas, y el 83% reveló que fueron víctimas de violaciones más de una vez.
Si se le viola, a menudo una de las primeras llamadas que debe hacer es a su compañía de seguros cibernéticos, que normalmente pagará a una compañía de Ciencia Forense Digital y Respuesta a Incidentes (DFIR) o una compañía de recuperación para detener el ataque, realizar la reparación y realizar una investigación forense.
El desafío para estas compañías es que se les pide que entren en redes que no conocen, esencialmente a ciegas. Y luego están trabajando contrarreloj para limitar el impacto y el daño causado a su negocio.
Su compañía de seguros también invierte mucho en minimizar el impacto de las infracciones porque cuanto más se propaga un ataque, más dispositivos se ven comprometidos y eso significa que se gasta más tiempo y dinero para solucionarlos. Como resultado, las primas de los seguros cibernéticos aumentaron debido a las pérdidas financieras de las aseguradoras por el creciente número de pagos por infracciones.
Por qué la segmentación de confianza cero es eficaz para la respuesta a incidentes
Illumio demostró la eficacia de la segmentación de confianza cero (ZTS) en los compromisos de respuesta a incidentes para la contención y recuperación de brechas:
- Illumio ZTS lo ayuda a ver el entorno, proporcionando visibilidad inmediata de la red para DFIR y los equipos de recuperación que ingresan a redes que nunca antes vieron.
- Illumio ZTS no toca la red física del cliente, lo que elimina la necesidad de crear VLAN o usar firewalls, una parte común de los compromisos de IR.
- Illumio ZTS detiene la propagación de brechas y mejora la velocidad de recuperación al priorizar las funciones comerciales más críticas del cliente, incluso antes de que se complete el proceso de investigación o recuperación, e incluso cuando el atacante todavía está en el entorno.
Las compañías de seguros estuvieron en primera línea respondiendo al aumento de los ataques cibernéticos y reconocen que la segmentación puede detener la propagación de malware en primer lugar al reducir significativamente la superficie de ataque.
Cómo funciona la segmentación en los compromisos activos y posteriores a la infracción
En una violación activa, Illumio se implementa junto con las herramientas de EDR, lo que aumenta el tiempo asignado a EDR para detectar y remediar amenazas. El equipo de Illumio IR gestiona el inquilino en nombre del DFIR o socio de recuperación y emplea la segmentación para restaurar las líneas de negocio caídas, detener la propagación de brechas y separar de manera inteligente el sistema infectado en tiempo real.
En un compromiso posterior a la infracción , Illumio se implementa luego del compromiso DFIR, y aquí la segmentación se emplea para ayudar en la protección de aplicaciones críticas para requisitos de seguros o medidas de emergencia. El equipo de Illumio IR también puede bloquear de forma proactiva los vectores de ataque comunes contra futuras amenazas.
En ambos tipos de compromisos, los socios de Illumio obtienen acceso las 24 horas del día, los 7 días de la semana a expertos de Illumio con amplia experiencia trabajando en infracciones activas del mundo real junto con compañías líderes en DFIR y recuperación. Debido a que nuestro equipo es una extensión de nuestros socios DFIR, nos cercioramos de comprender sus herramientas y flujos de trabajo alineados con la forma en que abordan las infracciones en tiempo real. Nuestro equipo crea inquilinos de Illumio que están totalmente personalizados para la gestión de proyectos y flujos de trabajo de IR y recuperación, y los inquilinos se proporcionan sin costo para nuestros socios.
El equipo de RI de Illumio trabaja en infracciones junto con DFIR y compañías de recuperación
En una brecha activa, una de las cosas clave que Illumio ZTS puede hacer mediante la segmentación es prevenir la reinfección separando los entornos comprometidos en burbujas "limpias" y "sucias".
El entorno sucio está segmentado para incluir solo dispositivos infectados que están contenidos y esencialmente en cuarentena durante todo el trabajo de respuesta y recuperación, pero aún así permiten que la compañía de RI acceda a ellos. Illumio establece una burbuja de "recuperación" para que la compañía de recuperación tenga acceso a los datos que necesita.
Illumio luego configura una burbuja "limpia" que es donde todos los dispositivos limpios y remediados vuelven a estar en línea. Hacemos esto para que el IR o el equipo de recuperación no necesiten crear VLAN o redes separadas antes de que puedan comenzar su trabajo.
Finalmente, comenzamos a segmentar las aplicaciones comerciales críticas para que vuelvan a estar en línea más rápido en comparación con los métodos tradicionales que emplean herramientas heredadas y rediseñan la red física.
La segmentación cambia la forma en que se puede realizar la respuesta a incidentes
En muchos casos, no puede recuperar líneas de negocio mientras no esté seguro de si el atacante está activo en el entorno. Esto significa que a menudo primero debe implementar EDR en todas partes y obtener un certificado de buena salud, y solo entonces podrá avanzar. Eso puede consumir una cantidad considerable de tiempo valioso cuando un equipo está trabajando contrarreloj.
Tomemos, por ejemplo, una compañía de fabricación que fue afectada por un ransomware que desconectó su planta de producción. Necesitan producir bienes, pero no pueden. El equipo de Illumio IR entra en la brecha activa, segmenta el entorno comprometido en burbujas, incluso si el atacante todavía está activo allí en el entorno, y ayuda a volver a poner en línea el entorno de producción y devolver el acceso al fabricante para que las operaciones vuelvan a funcionar, con el trabajo de investigación y recuperación realizado en paralelo.
El Programa de Socios de Respuesta a Incidentes de Illumio
Illumio se complace en anunciar nuestro nuevo Programa de Socios de Respuesta a Incidentes, diseñado para trabajar con las principales compañías de recuperación y DFIR para incluir ZTS como parte de los compromisos forenses y de RI. Para los clientes que están experimentando el impacto de una violación de seguridad, Illumio los ayuda a recuperar más rápido al priorizar la remediación para que su negocio vuelva a funcionar, mucho más rápido de lo que se hicieron las cosas tradicionalmente.
Para nuestros socios de DFIR y recuperación, Illumio proporciona un equipo de soporte experimentado y bajo demanda, inquilinos personalizados en espera y un programa diseñado para integrar la segmentación dentro de los flujos de trabajo existentes al tiempo que brinda total confidencialidad en todos los compromisos.
Si desea obtener más información sobre nuestro Programa de socios de respuesta a incidentes, comunicar con Ben Harel, Jefe de Respuesta a Incidentes de Illumio en [email protected].
O, si está interesado en convertir en un socio de respuesta a incidentes, obtenga más información aquí.
.webp)
