¿Qué tienen en común el robo de identidad, WhatsApp y un documento de Microsoft Word malintencionado? Para responder, permítanme rebobinar un poco.
Llevamos casi un año de pandemia de COVID-19 y las empresas farmacéuticas se han visto sometidas a una presión considerable para proteger sus datos, ya que la atención sanitaria se ha convertido en un objetivo prioritario de la ciberdelincuencia organizada. El giro simultáneo hacia el trabajo y la colaboración a distancia ha impulsado la rápida adopción de servicios cloud en todos los sectores, especialmente en las organizaciones sanitarias, donde se ha producido un aumento de la telemedicina y de los nuevos requisitos del trabajo a distancia.
Con todas las miradas puestas en la sanidad, hemos visto cómo los ciberatacantes se han vuelto aún más creativos a la hora de infiltrarse en las organizaciones bajo el radar.
Introduce: un atacante que se hace pasar por un reclutador aprovechando un perfil fraudulento de LinkedIn basado en una persona real con una amplia experiencia en reclutamiento. Este actor de amenazas se pone en contacto con la gente con el señuelo de una oferta de trabajo lucrativa, estableciendo una relación con su objetivo a través de WhatsApp durante varios días. Finalmente, el objetivo recibe un documento de Word infectado que, al abrirse, proporcionaría al atacante acceso al sistema de una organización. Esta ingeniería social permitió a los hackers atacar y comprometer al personal de la empresa, al igual que al confiado Empleado Cero de Sanofi, una multinacional farmacéutica. Aquí empieza nuestra historia.
Tuve el privilegio de sentarme con Jean-Yves Poichotte, Jefe de Grupo de Ciberseguridad de Sanofi, y Richard Webster, Jefe del Centro de Operaciones de Ciberseguridad de Sanofi, para hablar de cómo se desarrolló este ataque y por qué la asociación con Vectra fue fundamental para evitar una filtración de datos.
"Tenemos muchos proveedores", afirma Jean-Yves. "Raros son los que dedican un cierto nivel de colaboración. Vectra y su equipo aportan una mentalidad de colaboración".
Añadir valor con Vectra
¿Qué ocurre cuando las cuentas se ven comprometidas y un atacante se infiltra en su organización a través de herramientas y procesos completamente legítimos? El comportamiento malicioso del atacante queda oculto entre el ruido "normal" y no destaca en los análisis de endpoints. En casos como éste, las soluciones de detección y respuesta de endpoints (EDR) ya han sido infectadas y no pueden combatir la amenaza. Este es precisamente el problema que Sanofi resolvió con Vectra.
Cubrimos una carencia específica en la trayectoria de seguridad de Sanofi, proporcionándoles visibilidad y cobertura completas entre sus implementaciones empresariales y cloud , incluida su infraestructura de AWS. Durante las pruebas del equipo rojo, Sanofi necesitaba una solución que detectara ataques que eludieran las herramientas existentes, como EDR, y que fueran imposibles de encontrar en los sistemas de gestión de eventos e información de seguridad (SIEM).
La plataforma Cognito Network Detection and Response (NDR) de Vectra aplica algoritmos de aprendizaje automático derivados de la IA para detectar, priorizar y responder automáticamente a comportamientos de ciberataque en curso. Cognito proporciona una visibilidad de alta fidelidad de toda la red y la cloud, así como de todas las aplicaciones, sistemas operativos y dispositivos, incluidos los dispositivos BYOD (traiga su propio dispositivo) y el Internet de las Cosas (IoT).
La capacidad de Cognito para monitorizar continuamente todo el tráfico de red y de cloud , más la adición de datos de AWS VPC Traffic Mirror, hace imposible que los atacantes puedan eludirlo. La priorización de las amenazas de mayor riesgo con un alto grado de certeza permite un enfoque seguro para automatizar la vigilancia de amenazas. Según Richard, la tecnología Cognito es lo que permitió a su organización detectar y detener el ataque.
NDR aumenta el SOC
A pesar de que la arquitectura de seguridad de Sanofi está diseñada para gestionar operaciones complejas, este ataque concreto consiguió eludir las herramientas existentes. Richard reveló: "Siempre le digo a mi equipo que tenemos que construir nuevas redes de detección todo el tiempo. Estamos añadiendo capa tras capa de redes de detección, pero sólo dos de ellas funcionaron para este ataque". ¿Las dos en cuestión? Endpoint detection and response (EDR) y NDR.
Cuando pregunté a Jean-Yves y a Richard si debían elegir entre EDR y NDR, Richard dijo que ambos son fundamentales para mantener un entorno seguro. "Para mí, no se trata de uno u otro: necesito los dos. Quiero tanta visibilidad como sea posible, y quiero hacer análisis forenses profundos con EDR yNDR".Compartió cómo los adversarios podrían comprometer el dispositivo de punto final y desactivar la solución EDR, mientras que los atacantes no pueden hacer lo mismo con NDR. "Es más difícil derrotar a NDR,"dijo.
Mientras que EDR es importante para los puntos finales, NDR es fundamental para la red. Sanofi utilizó Detect y Recall conjuntamente para detectar amenazas y rastrear la progresión del ataque. Mientras que Detect prestó asistencia en tiempo real, Recall ayudó al equipo de Sanofi a realizar análisis forenses a posteriori. Richard señaló: "En este ataque concreto, pudimos entrar en Recall y ver línea por línea cuál era exactamente la enumeración de recursos compartidos.Podíamosver los archivos abiertos, los archivos leídos, los nombres de los archivos y el recuento de bytes".Una visibilidad tan completa de la progresión del ataque sirvió para educar e informar al equipo a la hora de crear marcos de detección para evitar tácticas similares en el futuro.
Sanofi y Vectra: Juntos mejor
Jean-Yves, Richard y yo terminamos reforzando la solidez de la asociación entre nuestras organizaciones. Este ataque ha demostrado que cuando un atacante consigue robar credenciales y eludir las soluciones tradicionales para puntos finales, NDR salva eficazmente la brecha.
Frustrar este ataque también ejemplifica los beneficios de la colaboración derivados de la cooperación entusiasta entre nuestros equipos. Vectra ofrece la plataforma, mientras que Sanofi aporta sus casos de uso únicos, lo que nos permite innovar juntos, resolver problemas e intercambiar conocimientos técnicos.
A medida que Sanofi continúa adaptándose a la cloud y desarrollando su seguridad empresarial, Jean-Yves y Richard compartieron que esperan seguir colaborando con nosotros en Vectra. Jean-Yves comentó: "Vectra aporta su innovación y su profundo valor técnico. Mi equipo en Sanofi aporta la retroalimentación de la solución. Y la combinación es el camino del progreso y la madurez".
Terminamos nuestra conversación con una excelente sesión de preguntas y respuestas del público. Aunque no pudimos responder a todas en directo, las hemos recogido todas en este documento, con los comentarios inéditos de Jean-Yves y Richard.
Obtenga toda la información sobre los métodos utilizados por los ciberdelincuentes para llevar a cabo el ataque -aprovechando LinkedIn, WhatsApp y Microsoft Word- y cómo Sanofi utilizó Detect y Recall de Vectra para detener el ataque en seco.