Escritório de advocacia global interrompe o ransomware com o Illumio Core

Ninguém gosta de notícias ruins. Depois, há notícias que nenhum CIO quer ouvir.

Mas às 16h de uma noite de segunda-feira no final de setembro de 2021, o CIO de um escritório de advocacia global foi notificado de que a empresa estava sendo atacada por um ransomware.

Um código malicioso invadiu a rede por meio de um URL em um e-mail de phishing que chegou a uma estação de trabalho de suporte técnico. A rede do escritório de advocacia foi violada. Em apenas algumas horas, o ransomware se espalhou para 12 servidores. O tempo estava se esgotando.

Mas esse escritório de advocacia tinha algo que os cibercriminosos não esperavam: a segmentação Zero Trust da Illumio.

Não há mais movimentos laterais — ou quaisquer movimentos

Em segundos, a empresa usou o Illumio para encerrar o ataque de ransomware. Depois de identificarem os 12 servidores comprometidos, eles rapidamente estabeleceram uma política para “cercar” e isolar as máquinas infectadas, basicamente jogando uma caixa nos atacantes para impedir sua movimentação pela rede.

“Literalmente, com alguns cliques de arrastar e soltar, conseguimos colocar em quarentena todos os sistemas afetados”, explica o executivo de TI que liderou a equipe de resposta a incidentes do escritório de advocacia. “Fizemos isso tão rapidamente que os atacantes foram bloqueados na rede antes que soubessem o que havia acontecido. Eles não tinham como pular para nenhum outro lugar para fugir de nós e continuar se espalhando. A diversão da noite acabou.”

O executivo diz que a velocidade com que eles conseguiram usar o Illumio para colocar os servidores comprometidos em quarentena fez toda a diferença.

“Nossos consultores de segurança disseram que nunca viram uma resposta tão rápida — e eficaz — a uma violação de ransomware”, explica ele. “Na maioria dos casos, quando uma empresa percebe que está sendo atacada e age com métodos convencionais para conter o acesso, já é tarde demais e o ransomware já se espalhou para centenas de sistemas.”

A velocidade com que conseguimos usar o Illumio para colocar o ransomware em quarentena fez toda a diferença. Executivo de TI Escritório de advocacia global

Ajudando a derrotar um ataque de ransomware

Embora a Illumio tenha sido fundamental para colocar rapidamente o ransomware em quarentena para evitar que ele se movesse pela rede, ele contribuiu para derrotar o ataque com sucesso de várias maneiras, diz o executivo.

• Diminua o ataque: Antes do ataque, a empresa já havia limitado bastante os caminhos abertos em sua rede ao implantar Segmentação Zero Trust da Illumio controles de acesso.
• Rastreie os intrusos: Ao se integrar perfeitamente à sua ferramenta de gerenciamento de eventos e informações de segurança (SIEM), a telemetria de comunicações da Illumio ajudou a fornecer uma visão mais completa da disseminação do ransomware.
• Visualize a atividade: O mapa de comunicação de aplicativos em tempo real da Illumio em todo o ambiente de nuvem híbrida do escritório de advocacia mostrou claramente a atividade incomum de rede causada por conversas sobre ransomware.
• Coloque ativos comprometidos em quarentena: Os recursos simples de geração de regras do Illumio facilitaram a criação de uma política em menos de um minuto para isolar os servidores infectados no data center e em um serviço de nuvem do Microsoft Azure.
• Auxilie na investigação: A Illumio tornou seguro acessar os dados comprometidos do servidor e transferi-los com segurança para uma agência de resposta a incidentes para análise.

Nossos consultores de segurança disseram que nunca viram uma resposta tão rápida — e eficaz — a uma violação de ransomware. Executivo de TI Escritório de advocacia global

Em particular, o executivo diz que o microsegmentação que eles já haviam implementado o Illumio Core (principal produto da Illumio) fizeram uma diferença profunda. Ele limitou proativamente aonde os atacantes poderiam ir e o que eles poderiam fazer, finalmente prendendo-os em uma cerca circular.

O Illumio Core deu aos atacantes uma gama muito menor de opções e deu à empresa mais tempo para rastreá-los.

“Se ainda não tivéssemos implementado o Illumio Core com políticas de fiscalização em tempo real, acho que o ataque poderia ter sido muito mais difícil de conter”, diz ele. “Os malfeitores teriam saído da estação de trabalho do suporte técnico e se espalhado muito mais, muito mais rápido, tornando nosso trabalho de detê-los muito mais complexo.”

Defendendo os dados do cliente e a reputação organizacional

Ser capaz de impedir o ransomware é duplamente essencial para escritórios de advocacia, diz o executivo. Eles não devem apenas proteger sua própria organização, mas os escritórios de advocacia têm o dever fiduciário de proteger as informações sobre seus clientes e seus casos legais.

“Nenhum escritório de advocacia pode se dar ao luxo de perder os dados de seus clientes em um ataque, porque isso causa danos à reputação dos quais, em alguns casos, pode ser muito difícil se recuperar”, diz ele.

Por exemplo, o executivo conhece outro escritório de advocacia que sofreu um grande ataque de ransomware que expôs dados de clientes e os forçou a derrubar a rede por um mês, prejudicando significativamente seus negócios e a confiança do cliente.

“A exposição deles foi enorme. Não está claro quantos clientes ou potenciais clientes eles podem ter perdido como resultado do incidente”, diz o executivo. “Eu não queria que nada remotamente parecido acontecesse conosco.”

Ao ser capaz de responder tão rapidamente para impedir seu ataque de ransomware com a Illumio, o escritório de advocacia conseguiu:

• Evite que os atacantes causem danos significativos aos seus sistemas ou dados de TI
• Impeça o roubo ou a criptografia de quaisquer dados, incluindo registros de clientes ou arquivos legais
• Evite interrupções em suas operações comerciais

E como nenhum dado do cliente foi roubado, a empresa preservou seu ativo mais precioso: sua reputação.

Se ainda não tivéssemos implementado parte de nossa segmentação do Illumio, o ataque poderia ter sido impossível de conter. Executivo de TI Escritório de advocacia global

Em busca de segurança de back-office

O executivo do escritório de advocacia diz que está sempre procurando novas formas de melhorar ainda mais a segurança digital da empresa e ficar um passo à frente dos ataques cibernéticos cada vez mais sofisticados.

“Tudo se resume a ser capaz de fechar as pontas soltas da sua rede que oferecem aos atacantes uma fraqueza a ser explorada”, diz ele.

Historicamente, o escritório de advocacia usou várias tecnologias para proteger seus dados e sistemas, como ferramentas de detecção e resposta de terminais (EDR), software antivírus para laptops de funcionários e detecção de ransomware para sistemas de arquivos.

Mas antes da Illumio, ela não tinha métodos sólidos para proteger “o back office” — todos os aplicativos e dados que administram suas operações comerciais — que agora vivem em data centers e plataformas de nuvem.

O executivo reconheceu que a microssegmentação seria uma forma fundamental de reforçar a proteção desses sistemas.

Ao ser capaz de controlar e bloquear facilmente os caminhos de viagem até o nível do aplicativo, a empresa poderia limitar bastante as “portas destrancadas” que muitas vezes facilitam a movimentação dos cibercriminosos pelas redes para roubar dados e manter as empresas reféns, explica ele.

Quando começou sua busca por uma plataforma de microssegmentação, ele descobriu que as abordagens convencionais de segmentação simplesmente não funcionavam da maneira que precisavam.

“Eu queria obter um melhor controle sobre nossas comunicações de rede, mas sabia que não poderia fazer isso com métodos como restringir manualmente as listas de controle de acesso em comutadores de rede físicos”, diz ele. “É preciso muita mão de obra para programá-los e, então, como mapear tudo isso depois?”

O Illumio oferece visibilidade e controle sobre os fluxos de comunicação de aplicativos de uma forma que você não tem com nenhuma outra solução de segurança. Executivo de TI Escritório de advocacia global

A Illumio resolve esses desafios, diz o executivo.

Com base em uma ampla verificação e orientação das principais empresas de análise, o executivo selecionou a Illumio para trazer a segmentação Zero Trust simples e escalável para sua organização.

“O Illumio oferece visibilidade e controle sobre os fluxos de comunicação de aplicativos de uma forma que você não tem com nenhuma outra solução de segurança”, diz ele. “Com o Illumio, você pode facilmente analisar suas políticas e fazer atualizações e modificações conforme necessário.”

O executivo diz que a capacidade da Illumio de fornecer perfeitamente os mesmos recursos de segmentação para cargas de trabalho em nuvem e para data centers locais também foi um grande argumento de venda.

“Você não pode simplesmente pensar nos limites do seu próprio data center”, diz ele. “A computação em nuvem híbrida é uma realidade hoje. Em vez de nos limitarmos a uma solução de hardware de rede ou a uma plataforma de virtualização, queríamos usar a melhor plataforma SaaS que nos desse a flexibilidade de que precisamos. Eu diria que o Illumio é exatamente isso.”

Certamente, o escritório de advocacia está mais do que feliz com o fato de a Illumio estar pronta para ajudá-la a derrotar o ransomware e evitar danos às suas operações, seus clientes e sua reputação. Agora, está se concentrando na expansão da Illumio para aplicar políticas em uma gama muito mais ampla de sua área de TI.

“Nos dias de hoje, é essencial implementar a microssegmentação para limitar o movimento lateral de qualquer atacante ou malware que entra na sua rede”, diz ele. “É apenas uma questão de tempo até que você tenha sua própria violação. Então, você precisa estar preparado.”