5 estudios de casos de detección y respuesta de red (NDR)

A medida que aumentan las ciberamenazas contra las redes corporativas, la detección y respuesta de red (NDR) es una parte fundamental de la estrategia de ciberseguridad de una empresa.

Consulte a continuación para conocer las organizaciones de diferentes industrias que utilizan NDR para mejorar su postura de seguridad:

5 casos de estudio de NDR

Blackstone es un administrador de activos alternativo con más de 3000 empleados y una cartera diversa, que incluye capital privado, deuda pública y capital, y bienes raíces.

Con una organización tan extendida como Blackstone, contar con sólidos sistemas de gestión de ciberseguridad es una necesidad más que un paso de precaución. Los ataques de ransomware han ido en aumento para las empresas de administración de activos a nivel mundial, y la empresa necesitaba una solución que pudiera mantener la visibilidad de Azure AD y Microsoft 365.

Blackstone seleccionó Vectra Detect para aumentar la seguridad de su red. El NDR usó inteligencia artificial (IA) para detectar cualquier comportamiento sospechoso en Office 365, lo que facilitó la ingeniería de detección de luz para el equipo de ciberseguridad de Blackstone. Luego, el equipo pudo mapear todas las alertas cibernéticas de acuerdo con las pautas de "MITRE ATT&CK", brindando una cobertura completa de los patrones de ataque comunes. Vectra trabajó centralizando las capacidades de respuesta de alerta de Blackstone.

"NDR es una forma de asegurarnos de que podemos medir nuestra ingesta y todo lo que ingresa, lo cual es realmente importante, porque si podemos tener todo en el mismo lugar, podemos priorizarlo", dice Kevin Kennedy, vicepresidente sénior de seguridad cibernética, Piedra negra.

"Todas esas métricas son importantes para nosotros, porque nos dan una buena idea de dónde pasan el tiempo nuestros analistas".

Industria:Servicios financieros

Proveedor de detección y respuesta de red:Vectra

Resultados:

EarthMover Credit Union tiene como objetivo proporcionar servicios financieros personalizados a sus clientes. La organización tiene una base de miembros de alrededor de 25 000, seis sucursales y varios cajeros automáticos.

La infraestructura de TI segura de EarthMover le ha permitido ejecutar sus operaciones sin problemas durante décadas. Hasta hace un tiempo, los esfuerzos de gestión de vulnerabilidades de EarthMover se administraban manualmente con el administrador de actualizaciones de Microsoft, reparando parches. Sin embargo, a medida que aumentaban radicalmente las nuevas vulnerabilidades, EarthMover sintió la necesidad de buscar una solución de ciberseguridad escalable con los últimos parches en sus sistemas ITS.

"Como institución financiera, necesitamos proteger los datos de nuestros miembros. Es un trabajo de tiempo completo", dice Shelley Johnson de EarthMover.

Solución de gestión de vulnerabilidades de Qualysescaneó el tráfico de red de EarthMover para identificar áreas vulnerables y hacer parches en sus sistemas cada vez que aparecía una nueva amenaza. El NDR también proporcionó pasos de remediación para mitigar los clientes potenciales ya calificados. Además, cada puerta de paso presentaba múltiples escaneos, por lo que cada vez que el sistema cambiaba, Qualys automatizaba un nuevo escaneo sin orientación adicional de EarthMover. El mismo proceso se repite para cada detección de vulnerabilidad, actualización del sistema y configuración de parches.

"La programación automática nos ayuda a ahorrar tiempo y no tenemos que recordar ejecutar escaneos manualmente", dice Johnson.

"Los informes rastrean automáticamente el número y la gravedad de las vulnerabilidades a lo largo del tiempo, por lo que siempre conocemos nuestro nivel de seguridad".

Industria:Servicios financieros

Proveedor de detección y respuesta de red:Calificaciones

Resultados:

CordenPharma suministra productos farmacéuticos a algunas de las firmas de biotecnología más grandes del mundo. La organización opera 11 instalaciones de fabricación cGMP en los EE. UU. y Europa y emplea a más de 2600 personas.

La mayoría de los clientes de CordenPharma están involucrados en ensayos clínicos de medicamentos en etapa inicial, un proceso que requiere protección de datos. Dado que el sector farmacéutico se está convirtiendo en un objetivo importante para los ataques cibernéticos, el equipo de seguridad de CordenPharma decidió actualizar sus medidas de seguridad para que la información crítica de los ensayos no se vea comprometida durante los desastres. Dado su tamaño limitado, el equipo se dio cuenta de la necesidad de implementar un NDR que pudiera aumentar su capacidad.

Hasta ahora, la organización usaba herramientas heredadas con múltiples problemas de marcado. Las actividades que cumplían vagamente con los parámetros técnicos predefinidos se marcaban como peligrosas, lo que a menudo inundaba al equipo de seguridad con muchos falsos positivos y horas de trabajo innecesarias. El proceso requería mucho tiempo y, a menudo, pasaba por alto vulnerabilidades genuinas.

CordenPharma implementó Darktrace como NDR para análisis de tráfico. A diferencia de las herramientas heredadas con el mismo conjunto de reglas para todos, la plataforma de IA de autoaprendizaje de Darktrace implementó algoritmos de IA para diferenciar entre actividades normales y anormales. Esta información permitió a Darktrace tener una comprensión profunda de las especificidades del negocio de CordenPharma y detectar incluso actividades anómalas leves que indicaban una amenaza.

Tan pronto como se implementó el NDR, CordenPharma estuvo al borde de un ataque criptográfico. Darktrace implementó el modo pasivo, detectó puntos finales comprometidos en función de las actividades anteriores del usuario y presentó pasos de mitigación automáticos para el equipo de seguridad.

Industria:Cuidado de la salud

Proveedor de detección y respuesta de red:Darktrace, Antígeno Darktrace

Resultados:

La Asociación de Seguros de Vida de la República de China (LIA-ROC) y otras 11 compañías de seguros lanzaron la Blockchain del Consorcio de Protección/Reclamaciones en su fase piloto. El proyecto estaba destinado a ser una plataforma integral para la liquidación de reclamaciones y actualizaciones de datos personales.

Dado que la ejecución piloto involucraría información altamente confidencial, era importante que LIA-ROC se asegurara de que su cadena de bloques tuviera mecanismos sólidos implementados.

LIA-ROC necesitaba mantener un puntaje de seguridad de la información de Nivel A como su estándar organizacional yVMware seleccionado Detección y respuesta de red de NSX. VMware se especializa en virtualización y eso es lo que usó NSX para crear una infraestructura de seguridad para LIA-ROC, creando un entorno virtual con CPU, configuraciones de memoria y seguimientos de usuarios duplicados. Así es como cualquier malware que ingrese al sistema será registrado y neutralizado antes de que interactúe con la infraestructura real de LIA-ROC.

Los mecanismos API de NSX y un código de muestra estandarizado permitieron a LIA-ROC construir un marco de implementación para la integración con proveedores y partes aseguradoras en un período de tiempo limitado. VMware usó una arquitectura de confianza cero para filtrar los puntos de control de entrada y salida en busca de cualquier vulnerabilidad.

Industria:Seguro

Proveedor de detección y respuesta de red:vmware

Resultados:

Viasat proporciona servicios de Internet para una variedad de clientes, incluidas empresas. La empresa tiene 7.000 empleados en 60 oficinas.

Como proveedor de servicios de Internet (ISP), Viasat tenía acceso a información sobre los tipos de atacantes y las estrategias de ciberataque utilizadas contra los clientes.

entonces viasatnecesitaba una solución de gestión de ciberseguridadeso podría ayudar a la empresa a obtener una mayor visibilidad y comprensión de las amenazas para prevenir ataques de ransomware contra sus clientes.

El NDR de ExtraHop tiene un escáner de red configurado con IA para minimizar los ataques de fuerza bruta, el descubrimiento de puertos abiertos y las cargas útiles de ransomware. El NDR segregó los riesgos vinculados con cualquier conexión o dirección IP en particular y usó esta información para responder de manera efectiva a las amenazas potenciales.

"La red es la verdad básica. Es lo que los atacantes no pueden evitar", dice Lee Chieffalo de Viasat.

"Usted se da la capacidad de ver todo en la red. Implementa una herramienta de detección de red, ahora tiene la capacidad de ver todo. Sin esos datos, está operando parcial o completamente a ciegas. No hay otra tecnología fuera de NDR que te puede dar eso".

Industria:servicios de Internet

Proveedor de detección y respuesta de red:Salto adicional

Resultados: