Cómo la segmentación es benéfica para las empresas de IR y recuperación en la respuesta a incidentes
A pesar del gasto en seguridad, las brechas siguen siendo comunes. En su Informe de violación de datos 2022, IBM entrevistó a cientos de organizaciones que se violaron, y el 83 por ciento reveló que han sido víctimas de violaciones más de una vez.
Si se le incumple, a menudo una de las primeras llamadas que debe hacer es a su compañía de seguros Cibernéticos, que normalmente va a una empresa de Digital Forensics and Incident Response (DFIR) o una empresa de recuperación para detener el ataque, realizar la remediación y llevar a cabo una investigación forense.
El reto para estas firmas es que se les pide que entre en redes que no conocemos, en lo que se ciegas. Y luego están trabajando contrarreloj para contener el impacto y daño que se le hace a tu negocio.
Su compañía de seguros también invierte mucho en minimizar el impacto de las brechas porque tanto más se propaga un ataque, más dispositivos se ven conmovidos, y eso significa que se gasta más tiempo y dinero para solucionarlos. Como resultado, las primas de los seguros cibernéticos han ido en aumento debido a las pérdidas financieras de los transportistas por el creciente número de pagos por inacciones.
Por qué la Segmentación de Confianza Cero es efectiva para la respuesta a incidentes
Illumino ha devenido la eficacia de Segmentación de confianza cero (ZTS) en contrataciones de respuesta a incidentes para la contención y recuperación de brechas:
- Ilumina ZTS la ayuda a ver el entorno, entregando visibilidad inmediata de la red para DFIR y equipos de recuperación que entran en redes que nunca antes se vieron.
- Illumio ZTS no toca la red física del cliente, lo que elimina la necesidad de crear VLAN o usar firewalls, una parte común de las contrataciones de IR.
- Illumino ZTS detiene la propagación de brechas y mejora la velocidad de recuperación al priorizar las funciones de negocio más críticas del cliente, incluso antes de que se complete el proceso de investigación o recuperación, e incluso cuando el agarrollador aún se encuentra en el entorno.
Las aseguradoras han estado en primera línea, han estado en primera línea, y han rehusado que la segmentación puede detener la propagación de malware en primer lugar mediante la reducción drástica de la superficie de ataque.

Cómo funciona la segmentación en las contrataciones activas y posteriores a la violación
En un violación activa, Illumino se implementará junto con las herramientas EDR, aumentar el tiempo asignado a EDR para detectar y remediar amenazas. El equipo de IR de Illumio le da al inquilino en nombre del DFIR o del asociado de recuperación y utiliza la segmentación para restaurar líneas de negocio derribadas, detener la propagación de brechas y separar inteligentemente el sistema que se encuentra en tiempo real.
En un después de la violación contratación, Illumio se implementará después de la contratación de DFIR, y aquí la segmentación se utiliza para ayudar en la protección de aplicaciones críticas para requerimientos de seguros o medidas de emergencia. El equipo de IR de Illumio también puede bloquear proactivamente vectores de ataque comunes contra amenazas futuras.
En ambos tipos de acuerdos, los socios de Illumino obtendrán acceso las 24 horas del día, los 7 días de la semana a expertos de Illumio con una amplia experiencia que laboran en brechas activas del mundo real junto con firmas líderes de DFIR y recuperación. Gracias a que nuestro equipo es una extensión de nuestros asociados de negocios DFIR, nos aseguramos de entender sus herramientas y flujos de trabajo alineados con la forma en que se aborden las brechas en vivo. Nuestro equipo crea a los usuarios de Illumio que están completamente personalizados para la administración de proyectos y flujos de trabajo de IR y recuperación, y los usuarios se entregan sin costo alguno para nuestros socios.
El equipo de IR de Illumio trabaja en brechas junto con DFIR y empresas de recuperación

En una brecha activa, una de las cosas clave que Illumino ZTS puede hacer mediante la segmentación es prevenir la reinfección separando los entornos en burbujas “limpias” y “sucias”.
El entorno sucio está segmentado para incluir solamente los dispositivos infectados que están contenidos y, en esencia, en cuarentena en todo el trabajo de respuesta y recuperación, sin dejar de permitir que la empresa de IR tenga acceso a ellos. Illumino establece una burbuja de “recuperación” para que la empresa de recuperación tenga acceso a los datos que necesitan.
Luego, Illumino establece una burbuja “limpia” que es donde todos los dispositivos de limpieza y remediados se volverán a poner en línea. Hacemos esto para que el equipo de IR o de recuperación no necesita crear VLAN o redes separadas antes de que puedan comenzar su trabajo.
Finalmente, comenzamos a segmentar las aplicaciones críticas del negocio para que vuelvan a estar en línea más rápido en comparación con los métodos tradicionales que utilizan herramientas heredadas y rediseñando la red física.
La segmentación cambia la forma en que se puede hacer la respuesta a incidentes
En muchos casos, no puede recuperar líneas de negocio mientras no esté seguro de si el agresor está activo en el entorno. Esto significa que a menudo primero debe implementar EDR en todas las partes y obtener una factura de salud limpia completa, y solo entonces podrá seguir adelante. Eso puede consumir una cantidad considerable de tiempo valioso cuando un equipo está trabajando contrarreloj.
Tomemos, por ejemplo, una empresa de fabricación que ha sido golpeada por ransomware que ha desconectado su planta de producción. Necesitan producir bienes, pero no son capaces de hacer. El equipo de IR de Illumio entra en la brecha activa, segmenta el entorno comprometido en burbujas, incluso si el atacante sigue allí activo en el entorno, y ayuda a que el entorno de producción vuelva a estar en línea y a devuelva el acceso al fabricante para las operaciones vuelva a funcionar, con el trabajo de investigación y recuperación realizado en paralelo.
El Programa de Asociados de Negocios de Respuesta a Inincidentes de Iluminación
Illumio se completa en anunciar nuestro Nuevo Programa para Asociados de Negocios de Respuesta a Inincidentes, diseñado para trabajar con las principales empresas de DFIR y recuperación para incluir ZTS como parte de los acuerdos de IR y forenses. Para los clientes que están teniendo el impacto de una brecha de seguridad, Illumio les ayuda a reponer más rápido al priorizar la remediación para que su negocio vuelva a estar operativo, mucho más rápido que la forma en que se han hecho las cosas de manera clásica.
Para nuestros Socios de DFIR y recuperación, Illumio proporciona un equipo de soporte experiencia bajo demanda, a los que están a la espera de los pasajeros personalizados y un programa diseñado para integrar la segmentación dentro de los flujos de trabajo existentes al tiempo que proporciona confidencialidad completa en todos los contratos.
Si desea obtener más información sobre nuestro Programa de Socios de Respuesta a Inincidentes, en Contacto con Ben Harel, Jefe de Respuesta a Inincidentes de Illumio en Correo electrónico: [email protected].
O bien, si está interesado en convertirse en un Asociado de Negocios de Respuesta a Inincidentes, aprender más aqui.