4 consejos de un CISO de fabricación sobre la contención proactiva de brechas con Illumio

Los enfoques tradicionales de ciberseguridad se centraron casi por completo en la detección y respuesta, pero en el panorama actual de amenazas, las infracciones son inevitables. Según el Reporte sobre el costo de una violación de datos de 2023 de IBM, el costo medio global de una violación de datos en 2023 fue de 4,45 millones de dólares, lo que supone un aumento del 15% en los últimos 3 años. Las violaciones de datos son cada vez más costosas y generalizadas cada año. Y las organizaciones que no se preparan para las infracciones de manera proactiva se ven obligadas a luchar para proteger sus activos más críticos luego del ataque.

Jamie Rossato, director de seguridad de la información de Lion, una compañía líder en bebidas con sede en Sydney, Australia, está adoptando un enfoque diferente. Está preparando a su organización para los ciberataques cotidianos adoptando una estrategia de seguridad Zero Trust que se centra en una mentalidad de "asumir infracción".

Una parte clave de esta estrategia es la implementación de soluciones diseñadas para contener y mitigar el movimiento lateral de los ataques, con Illumio a la vanguardia de este enfoque. Detener a los actores maliciosos antes de que puedan violar otros activos comerciales críticos garantiza que las operaciones comerciales puedan continuar durante y luego de un ataque, y pone en marcha un plan pragmático y procesable para agilizar el proceso de restauración.  

Lea más sobre cómo Rossato y su equipo están usando Illumio en Lion.

Estos son algunos de los mejores consejos de Jamie para las organizaciones que buscan proteger de manera proactiva a su gente y sus operaciones comerciales contra ransomware e infracciones con Illumio.  

1. Vea y corrija vulnerabilidades rápidamente con visibilidad de red

Para Jamie, la contención proactiva de brechas comienza con la obtención de una visibilidad completa en toda la red empleando el mapa de dependencia de aplicaciones de Illumio. Quiere ver dónde existen vías y comunicaciones vulnerables y encontrar formas de reducir el riesgo antes de que ocurra un ataque.  

"No estamos haciendo una conjetura sobre dónde tenemos el mayor riesgo y dónde cerciorar nuestro medio ambiente tendrá el mayor retorno de la inversión; estamos usando los datos de Illumio", explicó Rossato.  

Al ver los flujos de comunicación a través de la red, el equipo de seguridad de Lion puede obtener información en tiempo real sobre dónde existen riesgos potenciales, no solo dónde podrían estar, y luego ver cómo esas vulnerabilidades se reducen o eliminan por completo luego de implementar una solución.  

"Tenemos confianza en la madurez de nuestros procesos porque no estamos adivinando: tenemos datos en tiempo real y fáciles de entender sobre lo que está sucediendo en nuestra red", dijo Rossato.  

Con una visibilidad completa de la red, el equipo de seguridad de Lion confía en su comprensión de la exposición al riesgo de la organización y confía en que cuando ocurra una infracción, se contendrá rápidamente para provocar un daño comercial u operativo mínimo.  

No estamos adivinando dónde tenemos el mayor riesgo y dónde cerciorar nuestro medio ambiente tendrá el mayor retorno de la inversión. Estamos usando los datos de Illumio.

2. Comparta la visibilidad de la red de forma interfuncional

Para Rossato, la visibilidad de las dependencias de las aplicaciones y la conectividad de la red no es solo para su equipo de seguridad, es vital que el resto de la organización también pueda aprovechar esta visibilidad en tiempo real de sus entornos de TI.  

"Soy un gran creyente de que Illumio no debería ser una herramienta de seguridad cuya consola esté oculta al resto de la organización", dijo Rossato. "Soy partidario de la visibilidad de solo lectura en la consola de Illumio, para los equipos de administración de servicios, para los equipos de servidores, para los equipos de aplicaciones, porque informa mejor lo que deben hacer".

Cuando los equipos multifuncionales saben qué herramientas y tecnologías existen actualmente y cómo se comunican a través de la red, esos equipos están mejor informados y pueden tomar decisiones de mejor calidad para toda la organización. También reduce la cantidad de correcciones posteriores necesarias y causadas por puntos ciegos de la red.  

"Vi menos cambios e incidentes derivados de los cambios porque tenemos visibilidad de lo que está sucediendo exactamente en nuestra red en tiempo real", explicó Rosado.  

Y cuando ocurren cambios e incidentes, hay menos impacto en las operaciones porque los servicios clave ya están contenidos en Illumio: "Incluso si están haciendo un cambio, no pueden hacer daño".

Sin la visibilidad de Illumio, los equipos de seguridad podrían pasar días, semanas o años, sin dar de los lugares en los que su red está abierta a los atacantes de ransomware o a una posible infracción.

Según Rossato, "Realmente obtienes un proceso más maduro y de mayor calidad como resultado del uso de la herramienta Illumio día a día".

3. Emplee información de red personalizada para impulsar mejoras e iniciativas de seguridad

Otro recurso de Illumio que el equipo de Rossato aprovecha para reforzar la contención de brechas es el Panel de protección contra ransomware.

El panel evalúa la red y ofrece información clave para preparar mejor a las organizaciones para posibles ataques, visualizando:

• Cuántas cargas de trabajo tienen actualmente un riesgo crítico, alto, medio o bajo de exposición
• El número total de cargas de trabajo protegidas frente a las no protegidas
• Y proporcionar un puntaje de cobertura de protección que califique la eficacia de la política de seguridad contra las amenazas cibernéticas

"Soy alguien a quien le gusta tener un objetivo que alcanzar", explicó Rossato. "El puntaje de cobertura de protección siempre da miedo cuando lo ves por primera vez, pero el truco es no preocuparte demasiado si no está donde quieres que esté. Es qué tan bien puede su equipo mejorar ese puntaje semana tras semana".

Rossato emplea el panel de protección contra ransomware de Illumio como una forma de impulsar un enfoque continuo en la mejora dentro de sus equipos. El panel de control no solo ofrece al equipo de Rossato métricas vitales sobre el trabajo que realizan día a día, sino que Rossato también agregó las métricas del panel al reporte semanal de su equipo, empleándolas como línea de base para impulsar iniciativas de seguridad.

Las redes actuales están en constante cambio, y la preparación proactiva para una violación requiere una "mejora implacable", según Rossato.  

4. Implementar Illumio en previsión de una infracción

Si bien los firewalls tradicionales se pueden configurar para bloquear o aislar las infracciones, su complejidad a menudo causa aún más interrupciones en las operaciones comerciales. Tanto en el proceso de implementación, que puede ser arduo, costoso y engorroso, como durante las operaciones diarias, los firewalls configurados apresuradamente con demasiada frecuencia se equivocan por el lado de "bloquear todo" sin comprender las conexiones y los servicios que están afectando.  

"A menudo puedes entrar en estos ejercicios de contención un poco ciego o no tan completamente informado como necesitas", explicó Rossato. "Causa una interrupción al implementar un control de aplicación de seguridad que no está bien informado por lo que requiere el negocio para operar".

Pero con Illumio, las organizaciones tienen una comprensión básica de los flujos de red y las conexiones requeridas ya implementadas y pueden implementar y escalar fácilmente Illumio dentro de entornos nativos.  

Obtenga más información sobre cómo Illumio ayuda a los fabricantes a mantener las operaciones durante una infracción.

Los equipos de seguridad pueden "poner la contención muy rápidamente" sin causar interrupciones en las conexiones requeridas, según Rossato. Sin cambios importantes en los firewalls o sin extraer conexiones de enrutadores y conmutadores, los equipos de seguridad pueden aislar eficazmente las infracciones del resto del entorno con las políticas de contención detalladas de Illumio, al tiempo que permiten que las conexiones críticas continúen fluyendo. La investigación puede avanzar con la tranquilidad de que Illumio contuvo completamente la violación, dando a los equipos de seguridad más tiempo para restaurar el entorno afectado si es necesario.

"¿Qué hará que su vida posterior a la violación sea más fácil? Illumio lo hará", dijo Rossato.

Sigue leyendo sobre cómo Lion está implementando Illumio.

Contáctenos hoy para obtener más información sobre cómo Illumio puede preparar a su organización para una infracción.