Bufete de abogados global detiene el ransomware con Illumio Core

A nadie le gustan las malas noticias. Entonces hay noticias que ningún CIO quiere escuchar.

Pero a las 4:00 PM de un lunes por la noche a finales de septiembre de 2021, se notificó al CIO de un bufete de abogados global que la compañía estaba siendo atacada por ransomware.

El código malicioso se coló en la red a través de una URL en un correo electrónico de phishing que llegó a una estación de trabajo de mesa de ayuda. Se violó la red del bufete de abogados. En tan solo un par de horas, el ransomware se había extendido a 12 servidores. El tiempo se estaba acabando.

Pero este bufete de abogados tenía algo que los ciberdelincuentes no esperaban: Segmentación de Confianza Cero de Illumio.

No más movimientos laterales, ni ningún movimiento

En segundos, la compañía utilizó Illumio para cerrar el ataque de ransomware. Una vez que identificaron los 12 servidores comprometidos, rápidamente establecieron una política para “cercar” y aislar las máquinas infectadas, esencialmente dejando caer una caja sobre los atacantes para detener su movimiento a través de la red.

“Literalmente en un par de clics de arrastrar y soltar, pudimos poner en cuarentena todos los sistemas afectados”, explica el ejecutivo de TI que dirigió el equipo de respuesta a incidentes del bufete de abogados. “Lo hicimos tan rápido que los atacantes fueron bloqueados fuera de la red antes de que supieran lo que había sucedido. No tenían manera de saltar a ningún otro lado para evadernos y seguir extendiéndose. Su diversión por la noche había terminado”.

El ejecutivo dice que la velocidad a la que pudieron usar Illumio para poner en cuarentena los servidores comprometidos marcó toda la diferencia.

“Nuestros consultores de seguridad dijeron que nunca habían visto una respuesta tan rápida y efectiva a una violación de ransomware”, explica. “En la mayoría de los casos, para cuando una empresa se da cuenta de que está siendo atacada y toma medidas con métodos convencionales para contener el acceso, ya es demasiado tarde y el ransomware se ha extendido a cientos de sistemas”.

La velocidad a la que pudimos usar Illumio para poner en cuarentena el ransomware marcó toda la diferencia. Ejecutivo de TI Bufete de abogados global

Ayudar a derrotar un ataque de ransomware

Si bien Illumio fue fundamental para poner rápidamente en cuarentena el ransomware para evitar que se moviera a través de la red, contribuyó a derrotar con éxito el ataque de varias maneras, dice el ejecutivo.

• Ralentizar el ataque: Antes del ataque, la empresa ya había limitado considerablemente las vías abiertas en su red mediante el despliegue Segmentación de confianza cero de Illumio controles de acceso.
• Rastrear a los intrusos: Al integrarse sin problemas con su herramienta de administración de eventos e información de seguridad (SIEM), la telemetría de comunicaciones de Illumio ayudó a proporcionar una visión más completa de la propagación del ransomware.
• Visualizar la actividad: El mapa de comunicaciones de aplicaciones en tiempo real de Illumio en todo el entorno de nube híbrida del bufete de abogados mostró claramente la actividad inusual de la red de la charla de ransomware.
• Poner en cuarentena los activos comprometidos: Las capacidades simples de generación de reglas de Illumio facilitaron la creación de una política en menos de un minuto para aislar los servidores infectados tanto en el centro de datos como en un servicio en la nube de Microsoft Azure.
• Ayudar a la investigación: Illumio hizo que sea seguro acceder a los datos del servidor comprometidos y transferirlos de manera segura a una agencia de respuesta a incidentes para su análisis.

Nuestros consultores de seguridad dijeron que nunca habían visto una respuesta tan rápida y efectiva a una violación de ransomware. Ejecutivo de TI Bufete de abogados global

En particular, el ejecutivo dice que el microsegmentación ya habían puesto en marcha con Illumio Core (el producto insignia de Illumio) marcaron una profunda diferencia. Limitó proactivamente a dónde podían ir los atacantes y lo que podían hacer, finalmente atrapándolos en una valla de anillo.

Illumio Core dejó a los atacantes un rango mucho más estrecho de opciones y le dio a la compañía más tiempo para rastrearlos.

“Si no hubiéramos tenido ya Illumio Core con políticas de aplicación en vivo, creo que el ataque podría haber sido mucho más difícil de contener”, dice. “Los malos actores habrían tenido más caminos desde la estación de trabajo de la mesa de ayuda y se habrían extendido mucho más lejos, mucho más rápido, haciendo que nuestro trabajo de detenerlos fuera mucho más complejo”.

Defender los datos del cliente y la reputación organizacional

Poder detener el ransomware es doblemente esencial para los bufetes de abogados, dice el ejecutivo. No solo deben proteger su propia organización, sino que los bufetes de abogados están obligados por el deber fiduciario de salvaguardar la información sobre sus clientes y sus casos legales.

“Ningún bufete de abogados puede permitirse perder ninguno de los datos de sus clientes en un ataque, porque eso causa un daño reputacional que, en algunos casos, puede ser muy difícil de recuperar”, señala.

Por ejemplo, el ejecutivo sabe de otro bufete de abogados que sufrió un importante ataque de ransomware que expuso los datos de los clientes y los obligó a desconectarse de su red durante un mes, perjudicando significativamente su negocio y la confianza de sus clientes.

“Su exposición fue enorme. No está claro cuántos clientes o clientes potenciales pueden haber perdido como consecuencia del incidente”, señala el ejecutivo. “No quería que nos pasara nada remotamente similar”.

Al poder responder tan rápidamente para detener su ataque de ransomware con Illumio, el bufete de abogados pudo:

• Evitar que los atacantes causen daños significativos a sus sistemas de TI o datos
• Detener el robo o el cifrado de cualquier dato, incluidos los registros de clientes o archivos legales
• Evite interrupciones en sus operaciones de negocios

Y debido a que no se robaron datos de clientes, la firma conservó su activo más preciado: su reputación.

Si no hubiéramos tenido ya parte de nuestra segmentación de Illumio, el ataque podría haber sido imposible de contener. Ejecutivo de TI Bufete de abogados global

Búsqueda de seguridad de back-office

El ejecutivo del bufete de abogados dice que siempre está buscando nuevas formas de mejorar aún más la seguridad digital de la compañía y mantenerse un paso por delante de los ciberataques cada vez más sofisticados.

“Se trata de poder cerrar los cabos sueltos de tu red que ofrecen a los atacantes una debilidad que explotar”, dice.

Históricamente, el bufete de abogados ha utilizado múltiples tecnologías para asegurar sus datos y sistemas, como herramientas de detección y respuesta de puntos finales (EDR), software antivirus para computadoras portátiles de empleados y detección de ransomware para sistemas de archivos.

Pero antes de Illumio, carecía de métodos sólidos para proteger “el back office”, todas las aplicaciones y datos que ejecutan sus operaciones comerciales, que ahora viven tanto en centros de datos como en plataformas en la nube.

El ejecutivo reconoció que la microsegmentación sería una forma clave de reforzar la protección de estos sistemas.

Al poder controlar y bloquear fácilmente las vías de viaje hasta el nivel de aplicación, la firma podría limitar en gran medida las “puertas desbloqueadas” que tan a menudo facilitan a los ciberdelincuentes moverse por las redes para robar datos y mantener a las empresas como rehenes, explica.

Cuando comenzó su búsqueda de una plataforma de microsegmentación, descubrió que los enfoques convencionales para la segmentación simplemente no funcionaban de la manera que necesitaban.

“Quería obtener un mejor control sobre nuestras comunicaciones de red, pero sabía que no podía hacerlo con métodos como restringir manualmente las listas de control de acceso en conmutadores de red físicos”, dice. “Simplemente se necesita demasiada mano de obra para programarlos y, entonces, ¿cómo mapear todo eso después?”

Illumio le brinda la visibilidad y el control sobre los flujos de comunicación de las aplicaciones de una manera que no tiene con ninguna otra solución de seguridad. Ejecutivo de TI Bufete de abogados global

Illumio resuelve estos retos, dice el ejecutivo.

Basado en una amplia selección y orientación de firmas de analistas líderes, el ejecutivo seleccionó a Illumio para llevar la Segmentación de Confianza Cero simple y escalable a su organización.

“Illumio le brinda la visibilidad y el control sobre los flujos de comunicación de las aplicaciones de maneras que no tiene con ninguna otra solución de seguridad”, afirma. “Con Illumio, puede pasar fácilmente por sus políticas y realizar actualizaciones y modificaciones según sea necesario”.

El ejecutivo dice que la capacidad de Illumio para proporcionar sin problemas las mismas capacidades de segmentación para cargas de trabajo en la nube que para data centers locales también fue un gran punto de venta.

“No puede simplemente pensar en los límites de su propio data center”, afirma. “La computación en la nube híbrida es una realidad hoy en día. En lugar de estar vinculados a una solución de hardware de red o una plataforma de virtualización, queríamos elegir la mejor plataforma SaaS que nos brinde la flexibilidad que necesitamos. Yo diría que Illumio es solo eso”.

Ciertamente, el bufete de abogados está más que contento de que Illumio estuviera en su lugar, listo para ayudarle a derrotar el ransomware y evitar daños a sus operaciones, sus clientes y su reputación. Ahora se está enfocando en expandir Illumio para hacer cumplir las políticas en una gama mucho más amplia de su patrimonio de TI.

“En la actualidad, es esencial implementar la microsegmentación para limitar el movimiento lateral de cualquier atacante o malware eso se mete en tu red”, dice. “Es solo cuestión de tiempo antes de que tengas tu propia brecha. Entonces hay que estar preparado”.