Bufete de abogados global detiene el ransomware con Illumio Core

A nadie le gustan las malas noticias. Luego hay noticias que ningún CIO quiere escuchar.

Pero a las 4:00 p. m. de un lunes por la noche a fines de septiembre de 2021, el CIO de un bufete de abogados global fue notificado de que la compañía estaba siendo atacada por ransomware.

El código malicioso se coló en la red a través de una URL en un email de phishing que llegó a una estación de trabajo de la mesa de ayuda. La red del bufete de abogados fue violada. En solo un par de horas, el ransomware se extendió a 12 servidores. El tiempo se estaba acabando.

Pero este bufete de abogados tenía algo que los ciberdelincuentes no esperaban: segmentación de confianza cero de Illumio.

No más movimientos laterales, ni ningún movimiento

En segundos, la compañía usó Illumio para detener el ataque de ransomware. Una vez que identificaron los 12 servidores comprometidos, rápidamente establecieron una política para "aislar" y aislar las máquinas infectadas, esencialmente dejando caer una caja sobre los atacantes para detener su movimiento a través de la red.

"Literalmente, con un par de clics de arrastrar y soltar, pudimos poner en cuarentena todos los sistemas afectados", explica el ejecutivo de TI que dirigió el equipo de respuesta a incidentes del bufete de abogados. "Lo hicimos tan rápido que los atacantes fueron bloqueados de la red antes de que supieran lo que sucedió. No tenían forma de saltar a ningún otro lugar para evadirnos y seguir extender. Su diversión de la noche terminó".

El ejecutivo dice que la velocidad a la que pudieron usar Illumio para poner en cuarentena los servidores comprometidos marcó la diferencia.

"Nuestros consultores de seguridad dijeron que nunca habían visto una respuesta tan rápida y efectiva a un incumplimiento de ransomware", explica. "En la mayoría de los casos, cuando una compañía se da cuenta de que está siendo atacada y toma medidas con métodos convencionales para contener el acceso, es demasiado tarde y el ransomware se ha extendido a cientos de sistemas".

La velocidad a la que pudimos usar Illumio para poner en cuarentena el ransomware marcó la diferencia. Ejecutivo de TI Bufete de abogados global

Ayudar a derrotar un ataque de ransomware

Si bien Illumio fue fundamental para poner en cuarentena rápidamente el ransomware para evitar que se moviera a través de la red, contribuyó a derrotar con éxito el ataque de varias maneras, dice el ejecutivo.

• Ralentizar el ataque: Antes del ataque, la compañía ya limitó en gran medida las vías abiertas en su red mediante la implementación de los controles de acceso de segmentación de confianza cero de Illumio .
• Rastree a los intrusos: Al integrar perfectamente con su herramienta de gestión de eventos e información de seguridad (SIEM), la telemetría de comunicaciones de Illumio ayudó a proporcionar una visión más completa de la propagación del ransomware.
• Visualice la actividad: El mapa de comunicaciones de aplicaciones en tiempo real de Illumio en el entorno de nube híbrida del bufete de abogados mostró claramente la actividad inusual de la red de las conversaciones sobre ransomware.
• Poner en cuarentena los activos comprometidos: las sencillas capacidades de generación de reglas de Illumio facilitaron la creación de una política en menos de un minuto para aislar los servidores infectados tanto en el centro de datos como en un servicio en la nube de Microsoft Azure.
• Ayude en la investigación: Illumio hizo que fuera seguro acceder a los datos del servidor comprometidos y transferirlos de forma segura a una agencia de respuesta a incidentes para su análisis.

Nuestros consultores de seguridad dijeron que nunca habían visto una respuesta tan rápida y efectiva a un incumplimiento de ransomware. Ejecutivo de TI Bufete de abogados global

En individuo, el ejecutivo dice que la microsegmentación que ya implementaron con Illumio Core (el producto estrella de Illumio) marcó una profunda diferencia. Limitó proactivamente a dónde podían ir los atacantes y qué podían hacer, y finalmente los atrapó en una cerca.

Illumio Core dejó a los atacantes una gama mucho más estrecha de opciones y le dio a la compañía más tiempo para rastrearlos.

"Si no tuvimos ya Illumio Core en su lugar con políticas de aplicación en tiempo real, creo que el ataque podría ser mucho más difícil de contener", dice. "Los malos actores tuvieron más caminos desde la estación de trabajo de la mesa de ayuda y se extendieron mucho más lejos, mucho más rápido, lo que hace que nuestro trabajo de detenerlos sea mucho más complejo".

Defensa de los datos de los clientes y la reputación de la organización

Ser capaz de detener el ransomware es doblemente esencial para los bufetes de abogados, dice el ejecutivo. No solo deben proteger su propia organización, sino que los bufetes de abogados están obligados por el deber fiduciario de salvaguardar la información sobre sus clientes y sus casos legales.

"Ningún bufete de abogados puede permitir perder los datos de sus clientes en un ataque, porque eso causa un daño a la reputación del que, en algunos casos, puede ser muy difícil recuperar", dice.

Por ejemplo, el ejecutivo sabe de otro bufete de abogados que sufrió un importante ataque de ransomware que expuso los datos de los clientes y los obligó a desconectar su red durante un mes, lo que dañó significativamente su negocio y la confianza de los clientes.

"Su exposición fue enorme. No está claro cuántos clientes o clientes potenciales pueden perder como resultado del incidente", dice el ejecutivo. "No quería que nos pasara nada remotamente similar".

Al poder responder tan rápidamente para detener su ataque de ransomware con Illumio, el bufete de abogados pudo:

• Evitar que los atacantes causen daños significativos a sus sistemas informáticos o datos
• Detener el robo o el cifrado de cualquier dato, incluidos los registros de clientes o archivos legales
• Evitar interrupciones en sus operaciones comerciales

Y debido a que no se robaron datos de clientes, la compañía preservó su activo más preciado: su reputación.

Si no tuvimos ya parte de nuestra segmentación de Illumio en su lugar, el ataque podría ser imposible de contener. Ejecutivo de TI Bufete de abogados global

Búsqueda de seguridad de back-office

El ejecutivo del bufete de abogados dice que siempre está buscando nuevas formas de mejorar aún más la seguridad digital de la compañía y mantener un paso por delante de los ataques cibernéticos cada vez más sofisticados.

"Se trata de poder cerrar los cabos sueltos en su red que ofrecen a los atacantes una debilidad para explotar", dice.

Históricamente, el bufete de abogados empleó múltiples tecnologías para proteger sus datos y sistemas, como herramientas de detección y respuesta de endpoints (EDR), software antivirus para computadoras portátiles de empleados y detección de ransomware para sistemas de archivos.

Pero antes de Illumio, carecía de métodos estables para proteger "el back office", todas las aplicaciones y datos que ejecutan sus operaciones comerciales, que ahora viven tanto en centros de datos como en plataformas en la nube.

El ejecutivo reconoció que la microsegmentación sería una forma clave de reforzar la protección de estos sistemas.

Al poder controlar y bloquear fácilmente las vías de viaje hasta el nivel de la aplicación, la compañía podría limitar en gran medida las "puertas abiertas" que tan a menudo facilitan que los ciberdelincuentes se muevan por las redes para robar datos y mantener a las compañías como rehenes, explica.

Cuando comenzó su búsqueda de una plataforma de microsegmentación, descubrió que los enfoques convencionales para la segmentación simplemente no funcionaban de la manera necesaria.

"Quería obtener un mejor control sobre nuestras comunicaciones de red, pero sabía que no podía hacerlo con métodos como restringir manualmente las listas de control de acceso en los conmutadores de red físicos", dice. "Simplemente se necesita demasiada mano de obra para programarlos, y, luego, ¿cómo mapear todo eso después?"

Illumio le brinda visibilidad y control sobre los flujos de comunicación de las aplicaciones de una manera que no tiene con ninguna otra solución de seguridad. Ejecutivo de TI Bufete de abogados global

Illumio resuelve estos desafíos, dice el ejecutivo.

Basar en una exhaustiva investigación y orientación de las principales firmas de analistas, el ejecutivo seleccionó a Illumio para llevar una segmentación de confianza cero simple y escalable a su organización.

"Illumio le brinda la visibilidad y el control sobre los flujos de comunicación de las aplicaciones de una manera que no tiene con ninguna otra solución de seguridad", dice. "Con Illumio, puede revisar fácilmente sus políticas y realizar actualizaciones y modificaciones según sea necesario".

El ejecutivo dice que la capacidad de Illumio para proporcionar sin problemas las mismas capacidades de segmentación para las cargas de trabajo en la nube que para los centros de datos locales también fue un gran punto de venta.

"No puedes pensar solo en los límites de tu propio centro de datos", dice. "La computación en la nube híbrida es una realidad hoy en día. En lugar de estar atados a una solución de hardware de red o una plataforma de virtualización, queríamos optar por la mejor plataforma SaaS que nos brinde la flexibilidad que necesitamos. Yo diría que Illumio es solo eso".

Ciertamente, el bufete de abogados está más que feliz de que Illumio estuviera en su lugar, listo para ayudarlo a derrotar el ransomware y evitar daños a sus operaciones, sus clientes y su reputación. Ahora se está enfocando en expandir Illumio para hacer cumplir la política en una gama mucho más amplia de su patrimonio de TI.

"En la actualidad, es esencial implementar la microsegmentación para limitar el movimiento lateral de cualquier atacante o malware que ingrese a su red", dice. "Es solo cuestión de tiempo antes de que tengas tu propio incumplimiento. Así que debes estar preparado".