Bennett International Group reforça segurança em seus 500 endpoints

Entre os desafios listados estavam: proteger recursos de informações, impedindo ransomware, malware de dia zero e ameaças persistentes avançadas; e substituição de produtos AV existentes por uma plataforma de proteção de endpoint mais robusta e eficaz, e por uma solução de detecção e resposta.

Compartilhar:

A empresa

O Bennett International Group é uma empresa de transporte e logística diversificada, certificada pela Women’s Business Enterprise National Council (WBENC), que fornece soluções integradas de transporte e gerenciamento de cadeia de suprimentos em todo o mundo.

 

A situação

Como administrador de TI, Dustin Park lidera uma equipe do centro de operações de segurança (SOC) encarregada de preservar a disponibilidade e a integridade dos dados que alimentam as operações de caminhões, armazenagem e logística da empresa. Ele estava preocupado com a crescente prevalência de malware avançado capaz de escapar das defesas tradicionais de perímetro e derrotar produtos antivírus baseados em assinaturas.

 

“O Ransomware mudou o jogo para nós”, diz Park. “Tínhamos de nos preocupar com o fato de um funcionário abrir inadvertidamente um anexo com malware ou ser vítima de uma exploração de phishing. Precisávamos de uma estratégia de defesa de endpoint muito mais capaz.”

 

Após longa consideração, Park selecionou o produto de uma empresa de antivírus concorrente que incluía uma plataforma de proteção de endpoint (EPP) e detecção e resposta de endpoint (EDR). No entanto Park logo descobriu que esses produtos não eram tão robustos quanto ele esperava.

 

A primeira pista veio quando um funcionário conectou um pen drive em seu laptop desconectado da Web e foi rapidamente infectado com o ransomware CryptoLocker. “Estávamos seguros de que os produtos que tínhamos escolhido impediriam a execução do CryptoLocker. Como se vê, eles confiam na nuvem para detectar hashes maliciosos, portanto esse ataque específico escapou às nossas defesas. Essa foi a nossa primeira prova de que esses produtos podem não ser tão eficazes quanto fomos levados a acreditar.”

 

Os dois aplicativos também se mostraram muito mais difíceis de gerenciar do que o previsto. De acordo com Park, “nunca conseguimos que os recursos da lista de permissões de scripts funcionassem corretamente. Também aprendemos que os dois produtos que havíamos comprado não tiveram um bom desempenho juntos. Eu tive de designar três membros da minha equipe para gerenciar em tempo integral os produtos e o grande volume de falsos positivos que eles geraram. Nossos usuários finais também não ficaram satisfeitos e reclamaram que os produtos tinham tornado seus sistemas lentos e sem resposta. Estava ficando cada vez mais claro que precisávamos fazer uma correção no meio do percurso.”

 

O processo

Park e sua equipe resolveram substituir os produtos que estavam falhando por soluções de EPP e EDR mais capazes. Depois de se reunirem com várias empresas, Park convidou a BlackBerry Cylance e outro fornecedor para fazerem uma prova de conceito (POC) de um mês. Os produtos das duas empresas seriam configurados no modo de alerta, expostos a uma ampla variedade de tipos avançados de malware e avaliados quanto a precisão da detecção, facilidade de configuração, uso eficiente dos recursos e eficácia geral. Segundo Park, “as duas soluções tiveram um bom desempenho. No final, escolhemos o CylancePROTECT e o CylanceOPTICS devido ao seu forte desempenho e ao nível consumado de suporte e treinamento qualificados que recebemos do engenheiro de sistemas Cylance.”

 

Dias após a conclusão do POC, os recursos de defesa de memória, controle de script e dispositivo e prevenção de macros do CylancePROTECT foram ativados no modo de bloqueio completo. “Nós administramos os negócios em aplicativos, scripts e macros desenvolvidos internamente, portanto a lista de permissões é extremamente importante para nós. Com o CylancePROTECT, tudo funcionou perfeitamente”, diz Park.

 

Em pouco tempo, Park e sua equipe desativaram os produtos AV existentes e operacionalizaram o CylancePROTECT e o CylanceOPTICS em todos os 500 endpoints. “Tivemos de fazer alguns pequenos ajustes nas políticas de grupo que definimos para o POC. Fora isso, a implantação foi totalmente livre de falhas”, conta Park.

 

Os resultados

O Bennett International Group não sofreu uma única violação de dados ou ataque de ransomware em nenhum sistema operacionalizado com o CylancePROTECT. O volume de alertas de segurança também caiu para apenas um punhado por dia e a equipe de Park não está mais enfrentando reclamações de usuários finais sobre problemas de desempenho do sistema. De acordo com Park, “essas melhorias operacionais me permitiram realocar as três pessoas que gerenciavam nossos antigos produtos antivírus para atividades mais estratégicas de caça a ameaças e resposta a incidentes”.

 

Park está particularmente satisfeito com a integração perfeita entre CylanceOPTICS e CylancePROTECT. “O CylanceOPTICS provou ser uma plataforma de EDR extremamente capaz para nós. Podemos ver o que os aplicativos estão tentando fazer, criar respostas automatizadas e rastrear atividades suspeitas em todos os nossos pontos de extremidade. Em combinação com o CylancePROTECT, agora temos os recursos de prevenção, detecção e resposta necessários para proteger nossos negócios.”

 

 

 

INDÚSTRIA: transporte e logística


AMBIENTE:
aproximadamente 500 endpoints em 200 escritórios, terminais e armazéns nos EUA e em locais estratégicos em todo o mundo.

DESAFIOS:

• proteger recursos de informações, impedindo ransomware, malware de dia zero e ameaças persistentes avançadas;

• substituição de produtos AV existentes por uma plataforma de proteção de endpoint mais robusta e eficaz, e por uma solução de detecção e resposta de endpoints;

• reduzir o tempo e o esforço necessários para administrar e gerenciar as defesas dos endpoints.

 

SOLUÇÃO:

• Desativar os produtos AV existentes.

• Operacionalizar o CylancePROTECT e o CylanceOPTICS em todos os sistemas de endpoints.

 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...