Un banco elimina casi por completo las vulnerabilidades de seguridad relacionadas con la identidad gracias a Proofpoint

El desafío
  • Identificar los fallos potencialmente explotables entre los controles de seguridad multicapa.
  • Acelerar la corrección, si es necesario.
  • Adelantarse a los ciberdelincuentes.
La solución

Plataforma Proofpoint Identity Threat Defense

  • Proofpoint Spotlight
  • Proofpoint Shadow
Los resultados
  • Reducción de los privilegios de dominios administrativos de 350 a cero.
  • Identificación y eliminación de las rutas de alto riesgo a los recursos estratégicos.
  • Aumento de la confianza de los ejecutivos y miembros del consejo de administración en los controles organizativos.

El desafío

El equipo de ciberseguridad del banco es responsable de más de 10 000 endpoints de usuarios, así como de la seguridad de los procesos de ingeniería, operaciones y acceso. Había desplegado múltiples capas de seguridad, incluidas soluciones de concienciación sobre amenazas y de gestión de ciberriesgos, en toda su infraestructura. Sin embargo, muchas capas de seguridad estaban aisladas entre sí. Únicamente la solución SIEM del banco funcionaba como una capa “horizontal”, recopilando y analizando eventos en todos los controles. Sin embargo, a pesar de las sofisticadas defensas, había pruebas constantes de ataques incesantes, consciente de que ninguna organización está a salvo de un posible compromiso.

“Sabía que tendríamos que aceptar algún grado de vulnerabilidad”, explica el CISO. “Algunos recursos son muy difíciles de corregir sin interrumpir las actividades, y no existe la perfección cuando se trata de buenas prácticas de ciberseguridad. Queríamos tener visibilidad y protección en toda nuestra red y endpoints para identificar vulnerabilidades en las que nuestros otros controles no hubieran sido tan eficaces”.

“Gracias a Proofpoint Identity Threat Defense, tenemos mucha más confianza en nuestros controles de seguridad. Hemos observado una mejora cuantificable de la calidad general de la protección.”

Jefe de Seguridad de la Información (CISO)

La solución

El CISO descubrió Proofpoint Identity Threat Defense a través de otras empresas del sector. Sabía que varios grandes bancos habían adoptado la plataforma, pero no la había visto en acción todavía.

“Cuando vi la plataforma de Proofpoint, me pareció muy interesante la lógica que hay detrás”, afirma el CISO. “Nos permitió ver la red como la ve un atacante”.

Proofpoint Shadow es una solución sin agente e impulsada por inteligencia de amenazas, que crea sin esfuerzo una densa red de engaños a escala de toda la infraestructura. Acelera de forma determinista la detección de amenazas al identificarlas basándose en la interacción del atacante con los engaños, no en análisis probabilísticos basados en firmas o comportamientos. A diferencia de otras tecnologías de engaño que despliegan agentes o honeypots que pueden atraer la atención del ciberdelincuente, su arquitectura sin agente impide que sea descubierta por el ciberdelincuente. El CISO y su equipo realizaron una prueba de concepto (POC) de 60 días con Proofpoint, poniendo a prueba la solución. También utilizaron pruebas de penetración para intentar eludir la solución, y no lo consiguieron en ninguna ocasión.

Proofpoint Spotlight también permitió al equipo descubrir rutas de alto riesgo susceptibles de ser utilizadas por un atacante para moverse más rápidamente a través de la red hasta los recursos estratégicos. Identifica continuamente los privilegios de acceso no utilizados o superfluos, así como credenciales almacenadas incorrectamente que los ciberdelincuentes pueden comprometer y utilizar para su propio beneficio.

“Proofpoint Spotlight identificó rápidamente nuestros fallos más fácilmente explotables, basándose en ciberataques reales”, explica el CISO. “Nos proporcionó las pruebas y el contexto que necesitamos para priorizar la corrección y optimizar otros controles de seguridad, en caso necesario”.

Para maximizar la eficacia de la solución, solo algunos miembros del equipo de seguridad del banco saben que está desplegada. Las alertas de Proofpoint Identity Threat Defense se consideran infracciones de las políticas y se envían al sistema SIEM. El banco tiene un analista dedicado a la revisión de las “infracciones de las políticas” que vienen de la plataforma. Las personas que desplegaron la solución no tuvieron problemas de falsos positivos; cada alerta es una indicación auténtica de intento desplazamiento lateral por una persona desconocida en la red.

Los resultados

Eliminación del acceso a dominios

Inmediatamente después de su despliegue, Proofpoint Spotlight ha descubierto y amplificado fallos desconocidos en las mejores prácticas, como errores de configuración y problemas de control de acceso. La plataforma cuenta con descubrimiento perpetuo y automatización selectiva, lo que facilita la identificación y eliminación de rutas de acceso de alto riesgo. Proofpoint no solo identificó las cuentas con demasiados privilegios, sino que también reveló las rutas reales de la red que un ciberdelincuente podría utilizar para acceder a los recursos estratégicos del banco. Con esta visibilidad, el equipo del CISO obtuvo el contexto necesario para comprender exactamente cómo conexiones aparentemente inocuas estaban exponiendo al banco a desplazamientos laterales de los ciberdelincuentes. Esta información le permitió eliminar puntos de conexión innecesarios en función de indicadores de riesgo y del impacto en las operaciones y flujos de trabajo de la empresa. Además, el CISO trabajó con el equipo de TI para reducir estratégicamente los privilegios y eliminar progresivamente todos los privilegios de acceso en toda la infraestructura.

“Hemos perfeccionado nuestras normas y reducido los privilegios de administrador de dominio de 350 a cero”, explica el CISO. “En caso de emergencia, el acceso de emergencia solo está abierto durante un tiempo limitado”.

La capacidad de identificar vulnerabilidades explotables de forma rápida y sencilla proporciona al equipo de seguridad una ventaja preventiva sobre los ciberdelincuentes. Cuando un empleado abandona la empresa, ésta utiliza los datos de acceso del antiguo empleado para determinar dónde los ha utilizado y cerrar cualquier fisura que de otro modo no se hubiera identificado.

Obtener —y conservar— la confianza del consejo de administración

Además de detectar eficazmente los desplazamientos laterales y ayudar al equipo a reforzar la seguridad del entorno, la plataforma Proofpoint Identity Threat Defense ofrece un valor considerable en términos de comunicación. La gran cantidad de datos telemétricos e informes que proporciona la solución de Proofpoint han permitido al CISO ofrecer a los ejecutivos del banco y a los miembros del consejo de administración explicaciones visuales claras sobre cómo actúan los ciberdelincuentes, por qué los desplazamientos laterales son tan graves y cómo protegen el entorno las defensas del banco.

Aunque el banco ya contaba con una sólida infraestructura de ciberseguridad, Proofpoint ha mejorado el control, la visibilidad y la capacidad de comunicación del CISO. La capacidad de identificar vulnerabilidades, corregirlas y demostrar la eficacia de los controles ha reforzado considerablemente la seguridad del banco.

“Gracias a Proofpoint Identity Threat Defense, tenemos mucha más confianza en nuestros controles de seguridad”, comenta el CISO. “Hemos observado una mejora cuantificable de la calidad general de la protección”.

DESCARGAR HISTORIA DE CLIENTE