Escritório de advocacia global interrompe o ransomware com o Illumio Core

Ninguém gosta de notícias ruins. Depois, há notícias que nenhum CIO quer ouvir.

Mas, às 16h de uma segunda-feira no final de setembro de 2021, o CIO de um escritório de advocacia global foi notificado de que a empresa estava sendo atacada por ransomware.

Um código malicioso invadiu a rede por meio de um URL em um e-mail de phishing que chegou a uma estação de trabalho de suporte técnico. A rede do escritório de advocacia foi violada. Em apenas algumas horas, o ransomware se espalhou para 12 servidores. O tempo estava se esgotando.

Mas esse escritório de advocacia tinha algo que os criminosos cibernéticos não estavam esperando: segmentação de confiança zero da Illumio.

Não há mais movimentos laterais — ou quaisquer movimentos

Em segundos, a empresa usou o Illumio para encerrar o ataque de ransomware. Depois de identificar os 12 servidores comprometidos, eles rapidamente definiram uma política para "cercar" e isolar as máquinas infectadas, basicamente colocando uma caixa nos atacantes para impedir sua movimentação na rede.

"Literalmente, com alguns cliques de arrastar e soltar, conseguimos colocar em quarentena todos os sistemas afetados", explica o executivo de TI que liderou a equipe de resposta a incidentes do escritório de advocacia. “Fizemos isso tão rapidamente que os atacantes foram bloqueados na rede antes que soubessem o que havia acontecido. Eles não tinham como pular para nenhum outro lugar para fugir de nós e continuar se espalhando. A diversão da noite acabou.”

O executivo diz que a velocidade com que eles conseguiram usar o Illumio para colocar os servidores comprometidos em quarentena fez toda a diferença.

"Nossos consultores de segurança disseram que nunca tinham visto uma resposta tão rápida - e eficaz - a uma violação de ransomware", explica. "Na maioria dos casos, quando a empresa percebe que está sendo atacada e toma medidas com métodos convencionais para conter o acesso, é tarde demais e o ransomware já se espalhou por centenas de sistemas."

A velocidade com que conseguimos usar o Illumio para colocar o ransomware em quarentena fez toda a diferença. Escritório de advocacia globalexecutivo de TI

Ajudando a derrotar um ataque de ransomware

Embora o Illumio tenha sido fundamental para colocar rapidamente o ransomware em quarentena e impedir que ele se movesse pela rede, ele contribuiu para derrotar o ataque de várias maneiras, diz o executivo.

• Retardar o ataque: Antes do ataque, a empresa já havia limitado bastante os caminhos abertos em sua rede, implantando os controles de acesso segmentação de confiança zero da Illumio.
• Rastrear os invasores: Ao se integrar perfeitamente à sua ferramenta de gerenciamento de eventos e informações de segurança (SIEM), a telemetria de comunicações da Illumio ajudou a fornecer uma visão mais completa da disseminação do ransomware.
• Visualize a atividade: O mapa de comunicações de aplicativos em tempo real da Illumio em todo o ambiente de nuvem híbrida do escritório de advocacia mostrou claramente a atividade incomum da rede causada por conversas sobre ransomware.
• Quarentena de ativos comprometidos: Os recursos simples de geração de regras da Illumio facilitaram a criação de uma política em menos de um minuto para isolar os servidores infectados tanto no centro de dados quanto em um serviço de nuvem do Microsoft Azure.
• Ajudar na investigação: A Illumio tornou seguro o acesso aos dados do servidor comprometido e a transferência segura desses dados para uma agência de resposta a incidentes para análise.

Nossos consultores de segurança disseram que nunca tinham visto uma resposta tão rápida — e eficaz — a uma violação de ransomware. Escritório de advocacia globalexecutivo de TI

Em particular, o executivo diz que a microsegmentação que eles já haviam implementado com o Illumio Core (o principal produto da Illumio) fez uma profunda diferença. Ele limitou proativamente aonde os atacantes poderiam ir e o que eles poderiam fazer, finalmente prendendo-os em uma cerca circular.

O Illumio Core deu aos atacantes uma gama muito menor de opções e deu à empresa mais tempo para rastreá-los.

"Se ainda não tivéssemos o Illumio Core implementado com políticas de aplicação em tempo real, acho que o ataque poderia ter sido muito mais difícil de conter", diz ele. “Os malfeitores teriam saído da estação de trabalho do suporte técnico e se espalhado muito mais, muito mais rápido, tornando nosso trabalho de detê-los muito mais complexo.”

Defendendo os dados do cliente e a reputação organizacional

Ser capaz de impedir o ransomware é duplamente essencial para os escritórios de advocacia, diz o executivo. Eles não devem apenas proteger sua própria organização, mas os escritórios de advocacia têm o dever fiduciário de proteger as informações sobre seus clientes e seus casos legais.

"Nenhum escritório de advocacia pode se dar ao luxo de perder os dados de seus clientes em um ataque, porque isso causa danos à reputação que, em alguns casos, podem ser muito difíceis de recuperar", diz ele.

Por exemplo, o executivo sabe de outro escritório de advocacia que sofreu um grande ataque de ransomware que expôs os dados dos clientes e os forçou a desativar sua rede por um mês, prejudicando significativamente seus negócios e a confiança dos clientes.

“A exposição deles foi enorme. Não está claro quantos clientes ou clientes em potencial eles podem ter perdido como resultado do incidente", diz o executivo. “Eu não queria que nada remotamente parecido acontecesse conosco.”

Ao conseguir reagir tão rapidamente para interromper o ataque de ransomware com a Illumio, o escritório de advocacia conseguiu:

• Evite que os atacantes causem danos significativos aos seus sistemas ou dados de TI
• Impeça o roubo ou a criptografia de quaisquer dados, incluindo registros de clientes ou arquivos legais
• Evite interrupções em suas operações comerciais

E como nenhum dado de cliente foi roubado, a empresa preservou seu ativo mais precioso: sua reputação.

Se ainda não tivéssemos implementado parte da segmentação do Illumio, o ataque poderia ter sido impossível de conter. Escritório de advocacia globalexecutivo de TI

Busca por segurança no back-office

O executivo do escritório de advocacia diz que está sempre procurando novas maneiras de melhorar ainda mais a segurança digital da empresa e ficar um passo à frente dos ataques cibernéticos cada vez mais sofisticados.

“Tudo se resume a ser capaz de fechar as pontas soltas da sua rede que oferecem aos atacantes uma fraqueza a ser explorada”, diz ele.

Historicamente, o escritório de advocacia tem usado várias tecnologias para proteger seus dados e sistemas, como ferramentas de detecção e resposta de endpoint (EDR), software antivírus para laptops de funcionários e detecção de ransomware para sistemas de arquivos.

Porém, antes da Illumio, a empresa não possuía métodos sólidos para proteger "o back office", ou seja, todos os aplicativos e dados que executam suas operações comerciais, que agora estão em centros de dados e plataformas de nuvem.

O executivo reconheceu que a microsegmentação seria uma maneira fundamental de reforçar a proteção desses sistemas.

Ao ser capaz de controlar e bloquear facilmente os caminhos de viagem até o nível do aplicativo, a empresa poderia limitar bastante as “portas destrancadas” que muitas vezes facilitam a movimentação dos cibercriminosos pelas redes para roubar dados e manter as empresas reféns, explica ele.

Quando ele começou a procurar uma plataforma de microsegmentação, descobriu que as abordagens convencionais de segmentação simplesmente não funcionavam como necessário.

“Eu queria obter um melhor controle sobre nossas comunicações de rede, mas sabia que não poderia fazer isso com métodos como restringir manualmente as listas de controle de acesso em comutadores de rede físicos”, diz ele. “É preciso muita mão de obra para programá-los e, então, como mapear tudo isso depois?”

A Illumio oferece visibilidade e controle sobre os fluxos de comunicação dos aplicativos de uma forma que o senhor não tem com nenhuma outra solução de segurança. Escritório de advocacia globalexecutivo de TI

A Illumio resolve esses desafios, diz o executivo.

Com base em uma ampla avaliação e orientação das principais empresas de análise, o executivo escolheu a Illumio para levar a segmentação de confiança zero simples e escalonável para sua organização.

"A Illumio lhe dá visibilidade e controle sobre os fluxos de comunicação dos aplicativos de uma forma que o senhor não tem com nenhuma outra solução de segurança", diz ele. “Com o Illumio, você pode facilmente analisar suas políticas e fazer atualizações e modificações conforme necessário.”

O executivo diz que a capacidade da Illumio de fornecer perfeitamente os mesmos recursos de segmentação para cargas de trabalho na nuvem e para centros de dados locais também foi um grande argumento de venda.

"O senhor não pode pensar apenas nos limites do seu próprio centro de dados", diz ele. "A computação em nuvem híbrida é uma realidade hoje. Em vez de nos limitarmos a uma solução de hardware de rede ou a uma plataforma de virtualização, queríamos usar a melhor plataforma SaaS que nos desse a flexibilidade de que precisamos. Eu diria que o Illumio é exatamente isso.”

Certamente, o escritório de advocacia está mais do que satisfeito com o fato de a Illumio estar pronta para ajudá-lo a derrotar o ransomware e evitar danos às suas operações, aos seus clientes e à sua reputação. Agora, está se concentrando na expansão da Illumio para aplicar políticas em uma gama muito mais ampla de sua área de TI.

"Nos dias de hoje, é essencial implementar a microsegmentação para limitar o movimento lateral de qualquer invasor ou malware que entre em sua rede", diz ele. "É apenas uma questão de tempo até que o senhor tenha sua própria violação de dados. Então, você precisa estar preparado.”