©2025 Akamai Technologies
O desafio
Após um ataque bem-sucedido de propagação de malware que afetou suas operações comerciais, uma fabricante global começou a trabalhar com a empresa de serviços de mitigação de violações para recuperar e aprimorar a segurança em seu ambiente. O ataque, iniciado a partir do notebook de um funcionário, espalhou-se e afetou rapidamente a maioria dos locais operacionais, além de invadir os servidores de backup da organização.
A solução
Os métodos de contenção iniciais, como a aplicação de regras de restrição de acesso à Internet em firewalls, demoraram a conter o rápido agravamento da violação. A complexidade do ambiente e a realidade da rede em uma empresa distribuída tornaram a implementação e a aplicação de regras de restrição com firewalls um processo lento e ineficaz.
Além disso, a visibilidade das máquinas legadas era um problema significativo para os responsáveis pela resposta a incidentes pela investigação e contenção da violação. Observando a necessidade urgente de acelerar a segmentação antes que a disseminação lateral impactasse ainda mais ativos, o provedor de serviços de mitigação de violações recomendou a Akamai Guardicore Segmentation.
A Guardicore nos permitiu, em até quatro horas, impedir que o ataque se espalhasse e restaurar linhas de produção interrompidas em um segmento de rede "estéril" sem modificar nenhuma rede subjacente. Tudo isso durante a investigação e contenção contínuas de IR.
CISO da empresa de mitigação de violações
Os resultados
Visibilidade instantânea
Dentro de três horas, a organização de serviços de mitigação de violações provisionou rapidamente agentes Guardicore em mais de 3.000 servidores da empresa. E, apenas alguns minutos após a implantação, a visibilidade granular dos fluxos de rede e comunicações começou a surgir, dando à equipe de resposta a incidentes o contexto e os dados precisos necessários para investigar a violação e validar a contenção.
Rapidez na implantação da política
Logo depois de obter a visibilidade necessária, as equipes tomaram medidas para segmentar ativos críticos a partir de um ambiente mais amplo. Dois aplicativos de produção cruciais, responsáveis pela única linha de fabricação em funcionamento, foram rapidamente identificados e protegidos. Com a Guardicore, uma política foi imediatamente implementada para restringir as conexões entre as sub-redes e partes infectadas do data center e os aplicativos, uma tarefa que levaria semanas com firewalls legados. Uma consulta simples também revelou que as máquinas legadas conectadas à Internet tinham burlado firewalls legados e tentavam impor restrições à contenção. Depois de descobrir comunicações não conformes, a equipe criou políticas que restringiram efetivamente o acesso à Internet para todos os servidores, incluindo máquinas legadas, em poucos minutos.
Prevenção contra movimentação lateral durante a recuperação
Durante a etapa seguinte do processo de recuperação, a equipe recriou os clusters de aplicativos do fabricante, incorporando os agentes Guardicore. A equipe configurou uma política inicial que bloqueou todas as conexões de entrada e usou a Guardicore para identificar dependências. Em seguida, as comunicações foram permitidas com base na necessidade, somente após validar os requisitos e entender o contexto. Essa abordagem permitiu que a equipe recuperasse e reativasse os aplicativos afetados pelo ataque de ransomware sem o risco de reinfecção.
Proteção futura
A segmentação interna do data center introduzida durante a recuperação em fases reduziu significativamente a superfície de ataque. Hoje, a postura de segurança da organização melhorou, e o impacto de qualquer violação futura reduziu muito.
A Guardicore permitiu que a empresa de serviços de mitigação de violações demonstrasse um valor agregado significativo para seu cliente, o fabricante, ajudando-o a se recuperar do ataque de ransomware. Isso fez com que a empresa de serviços pudesse aumentar sua receita, expandir sua presença e ajudar ainda mais os clientes a atingir suas metas de TI e segurança.