Crise Rússia-Ucrânia: como mitigar o risco com a segmentação

O conflito na Ucrânia está forçando organizações de todo o mundo a revisitar sua modelagem de ameaças e reavaliar o risco cibernético. Do presidente Biden aviso em 21 de março que “o governo russo está explorando opções para possíveis ataques cibernéticos” à infraestrutura crítica dos Estados Unidos causou uma enxurrada de atividades em salas de reuniões em todo o país. Mas, além disso, o que dizer das organizações com operações na Ucrânia, Rússia ou Bielorrússia?

Os clientes da Illumio nesta posição já entraram em contato perguntando o que podemos fazer para evitar que as ameaças da região se espalhem para sistemas de TI baseados nos EUA e em outros lugares. Geralmente, ouvimos dois grupos diferentes:

1. Organizações multinacionais com escritórios na Ucrânia, Rússia ou Bielorrússia temem que agentes maliciosos possam comprometer suas propriedades de TI nessas regiões. Dessa forma, eles poderiam oferecer aos atacantes a oportunidade de se moverem lateralmente e se infiltrarem nas redes mais próximas de casa de maneira semelhante ao infame vírus destrutivo de computador NotPetya, espalhado pela Ucrânia em 2017.
   
2. Mesmo aqueles sem presença na região estão preocupados com as possíveis repercussões das sanções ocidentais à Rússia, que Putin já argumentou serem semelhantes a um ato de conflito. Como os da CISA Iniciativa “Shields Up” afirma, e afirma a advertência do presidente Biden, que todas as organizações nos EUA e nos países aliados devem estar prontas para ataques retaliatórios. Isso é especialmente verdadeiro para aqueles em setores de infraestrutura crítica, como serviços financeiros, saúde, serviços públicos e energia.

Felizmente, a visibilidade granular da rede da Illumio e capacidades de segmentação formam um conjunto formidável de ferramentas para proteger as organizações contra ataques cibernéticos.

Como a segmentação da Illumio pode ajudar

A Illumio pode ajudar os clientes em ambos os cenários. Para aqueles com ativos e redes em países de alto risco, como Ucrânia, Rússia e Bielorrússia, existem três maneiras de proteger seus ativos digitais:

1. O Illumio fornece uma rica visibilidade baseada em riscos e mapeamento de dependências de aplicativos para destacar qualquer conexão perigosa, até o nível de carga de trabalho individual. Antes mesmo de decidirem bloquear o tráfego da Europa Oriental, os clientes podem criar uma imagem clara das interações entre ativos na Ucrânia, Rússia e Bielorrússia e no resto da organização.
   
   Eles podem detectar novos fluxos de tráfego nunca antes vistos ou aumentos significativos no volume de dados enviados por esses ativos, por exemplo. Essa inteligência pode então ser inserida nos manuais de detecção e resposta a ameaças e ter as mitigações aplicadas.
   
2. Se o Illumio estiver implantado em propriedades fora desses países e a organização souber quais endereços IP estão usando na Ucrânia, Rússia e Bielorrússia, mitigar o risco cibernético é bastante simples. Em minutos, você pode implementar uma política no Illumio bloqueando o tráfego de e para essas redes. Também é simples escrever exceções para garantir que você tenha acesso forense a esses sistemas.
   
   Isso é possível graças à Illumio Limites de fiscalização, que permitem que as organizações criem com rapidez e facilidade um perímetro de proteção em torno de qualquer porta, carga de trabalho, grupo de cargas de trabalho ou faixa de IP. Isso pode ser feito em minutos e aplicado em grande escala para criar com eficácia.”lista de permissões” regras com o mínimo de problemas.
   
3. Se o Illumio for implantado em todos os ativos, incluindo qualquer um baseado na Ucrânia, Rússia e Bielorrússia, os clientes poderão obter a mesma capacidade de bloqueio usando etiquetas. Basta escrever uma política que diga: “Se os ativos estiverem localizados nesses países, bloqueie esse tráfego”. Essa também é uma ação fácil e rápida que leva alguns minutos para ser configurada.

Protege com microssegmentação

Para organizações que não estão diretamente expostas ao conflito na Ucrânia, mas que estão preocupadas com a possível “repercussão”, agora é um bom momento para pensar em atualizar as políticas de segurança.

Para entender a exposição ao risco, é importante não apenas obter visibilidade em nível de perímetro, mas também saber o que está acontecendo dentro de sua infraestrutura híbrida digital. Afinal, está mais fácil do que nunca para determinados invasores violarem os perímetros da rede usando phishing, credenciais comprometidas e outras técnicas.

Ao aplicar as restrições corretas, as equipes de segurança podem limitar os fluxos de tráfego suspeitos para bloquear o movimento lateral e encerrar as chamadas de comando e controle dos atacantes. Isso pode ser tão grosseiro quanto bloquear portas para serviços comumente usados por ransomware, como RDP, SMB e SSH. Ou poderia ser mais refinado para proteger aplicativos e ativos de alto valor.

Você também pode criar políticas para isolar a infraestrutura crítica de TI, como DNS, sistemas de autenticação e Active Directory.

Organizações sem ativos na Ucrânia, Rússia ou Bielorrússia não terão endereços IP específicos que possam usar para bloquear o tráfego. Aproveitando as informações do feed de ameaças, eles poderiam reforçar o bloqueio generalizado de todos os IPs maliciosos no perímetro com um bloqueio mais direcionado em suas políticas de segmentação, criando várias camadas de defesa.

A necessidade de atualizar as estratégias de gerenciamento de risco aumentou a urgência, não apenas devido ao potencial da Rússia de desencadear uma enxurrada de ataques destrutivos, mas também do ponto de vista da conformidade. O governo federal dos EUA, por exemplo, fez recentemente é uma exigência legal para que operadores de infraestrutura crítica divulguem ataques cibernéticos em 72 horas.

Quer saber mais sobre como os recursos de segmentação da Illumio podem ajudar você? crie uma defesa mais profunda para proteger sua organização das crescentes ameaças cibernéticas de hoje? Entre em contato conosco hoje.