Un fabricante de tecnología global neutraliza un ataque APT sin interrumpir la actividad

Cuando los atacantes accedieron al entorno del cliente, conformado por más de 10 000 endpoints, como parte de la campaña TiltedTemple, Unit 42® determinó el impacto de la intrusión y protegió la empresa.

Resultados
Reto
Acciones
Contacte con nosotros
Result
ados
0interrupciones de la actividad

Gracias a Unit 42, el cliente pudo seguir desarrollando sus operaciones de forma segura tras haber sufrido un ataque APT.

48horas

Para determinar que el ataque se enmarcaba en la campaña TiltedTemple.

4días

Para determinar el alcance del impacto y proteger el entorno.

El cliente

Fabricante de tecnología global

El reto

Las autoridades detectaron que del entorno del cliente salía tráfico de red que coincidía con los indicadores de una APT conocida y caracterizada por ser muy sigilosa, por lo que era necesario realizar una investigación especializada y rigurosa. Unit 42 se encargó de garantizar que el cliente no sufriese ninguna interrupción de la actividad durante la investigación de la APT activa. A nuestros expertos en respuesta a incidentes se les encargó lo siguiente:

  • Contener y erradicar al actor de amenazas, y evitar su movimiento lateral más allá del punto inicial del ataque.
  • Identificar la causa original y determinar el alcance del ataque.
  • Mejorar los controles de seguridad para evitar daños mayores.

El riguroso método de respuesta a incidentes de Unit 42 ofrece unos resultados superiores

Evaluación

Por la naturaleza del actor de amenazas, Unit 42 sabía que era necesario realizar una evaluación exhaustiva, no solo del entorno afectado, sino también de los entornos adyacentes y de la red en su conjunto.

Investigación

Para asegurarse de que el actor de amenazas no seguía escondiéndose, dio comienzo una intensa búsqueda de amenazas para localizar indicios de acceso persistente, movimiento lateral y exfiltración de datos.

Protección

La búsqueda de amenazas ininterrumpida y la supervisión proactiva proporcionaron una visibilidad total de la actividad de la red y de todos los endpoints.

Recuperación

Se confirmó que el actor de amenazas había sido eliminado y que las puertas traseras se habían cerrado, y Unit 42 pudo informar al cliente de todo lo relativo al impacto.

Transformación

Identificó y subsanó las carencias de visibilidad relacionadas con la seguridad entre la empresa matriz y la organización afectada.

«Unit 42 nos ofreció los conocimientos y las competencias necesarios de manera oportuna para ayudar al equipo de respuesta a incidentes y al equipo directivo a tener la tranquilidad de que los riesgos asociados a un actor de amenazas activo se habían mitigado».

CIO

First trigger point

Evaluación

Investigación

Protección

Recuperación

Transformación

Desplazarse a la derecha

Cronología de las acciones de corrección

Evaluación

Investigación

Protección

Recuperación

Transformación

Días 0-1
Intervención en la crisis

Evaluó el alcance y la gravedad del incidente, identificó los indicadores de riesgo (IoC) y determinó con quién se correspondía el actor de amenazas.

Realizó una investigación forense de los sistemas que se sabía que habían sido afectados para entender toda la actividad no autorizada y buscó IoC a lo largo y ancho del entorno de la empresa.

Utilizó las herramientas existentes para ofrecer visibilidad enseguida y determinó las carencias.

Días 2-5
Contención

Gracias a los IoC y la inteligencia sobre amenazas de Unit 42, se identificó al actor de amenazas como una APT china enmarcada en la campaña TiltedTemple.

Continuó la búsqueda de amenazas para detectar IoC conocidos e identificó TTP nuevos.

Implementó Cortex XDR® en los sistemas con lagunas detectadas en la cobertura para ampliar la visibilidad.

Aisló las amenazas detectadas y supervisó el entorno para detectar posibles actividades persistentes y exposiciones de datos.

Días 6-10
Restablecimiento

Llevó a cabo una búsqueda de amenazas más amplia en todo el entorno de la empresa para detectar la presencia de actividad no conocida del actor de amenazas.

Realizó análisis de frecuencias y anomalías con Cortex Xpanse® para identificar actividad potencialmente maliciosa.

Confirmó que el actor de amenazas se había expulsado y que la amenaza se había erradicado, y ofreció al cliente detalles sobre el impacto del incidente.

Identificó lagunas y ofreció asesoramiento para corregir las vulnerabilidades con eficacia con el fin de mejorar la estrategia de seguridad del cliente.

Last trigger point

Respuesta a incidentes basada en la inteligencia sobre amenazas

Con el servicio de respuesta a incidentes de Unit 42, se adelantará a las amenazas y evitará apariciones no deseadas en los medios de comunicación. Investigue y contenga los incidentes más rápido para que su empresa se recupere antes de ellos y salga fortalecida de la crisis gracias a las ventajas que ofrece trabajar con la empresa de ciberseguridad líder a nivel mundial. Póngase en contacto con nosotros y gane en tranquilidad.

HABLAR CON UN EXPERTO HOY

Un servicio con los mejores recursos del sector

  • Threat Intel logo icon
    Inteligencia sobre amenazas

    Grandes cantidades de datos de telemetría e inteligencia para acelerar la investigación y la corrección.

  • Technology icon
    Tecnología

    La plataforma de Palo Alto Networks ofrece visibilidad total para encontrar, contener y eliminar las amenazas más rápido, y evitando la interrupción de las operaciones.

  • Experience symbol
    Experiencia

    Expertos de confianza que pasan a la acción enseguida y actúan con decisión en más de mil incidentes al año.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas