Un fabricante mundial de tecnología neutraliza un ataque de APT sin tiempo de inactividad

Cuando los atacantes accedieron al entorno de más de 10 000 endpoints del cliente como parte de la campaña TiltedTemple, Unit 42® descubrió el impacto y protegió a la empresa.

Resultados
Desafío
Resultados
Póngase en contacto
Result
ados
0tiempo de inactividad

Unit 42 permitió al cliente continuar operando de forma segura después de haber sufrido un ataque por parte de una APT

48horas

Atribución exitosa de la campaña a TiltedTemple por el ataque

4días

Se determinó el alcance del impacto y se protegió el entorno

El cliente

Fabricante mundial de tecnología

El desafío

Los organismos de cumplimiento de la ley vieron que el tráfico de red que salía del entorno del cliente coincidía con los indicadores de una APT conocida que era capaz de ser muy sigilosa, lo que requirió una investigación única y exhaustiva. Unit 42 se aseguró de que el cliente no sufriera tiempo de inactividad durante la investigación de una APT activa. Se pidió a nuestros expertos en respuesta ante incidentes que hicieran lo siguiente:

  • Contener y hacer desaparecer al autor de la amenaza e impedir el movimiento lateral más allá del impacto inicial.
  • Identificar la causa principal y evaluar el alcance del ataque.
  • Mejorar los controles de seguridad para mitigar daños mayores.

El riguroso enfoque de respuesta ante incidentes de Unit 42 para obtener resultados superiores

Evaluar

Dada la naturaleza del autor de la amenaza, Unit 42 sabía que era necesaria una evaluación exhaustiva, no solo del entorno afectado, sino también de los entornos adyacentes y de la red más amplia.

Investigar

Para asegurarse de que el autor de la amenaza no se ocultaba a simple vista, se inició una exhaustiva detección de amenazas, buscando inmediatamente accesos persistentes, movimientos laterales y filtración de datos.

Proteger

La configuración de la supervisión proactiva y la detección de amenazas las 24 horas del día, los 7 días de la semana, permitieron una visibilidad completa de la actividad en la red y en todos los endpoints.

Recuperar

Se confirmó que se había eliminado el acceso del autor de la amenaza, se cerraron las puertas traseras y Unit 42 pudo informar al cliente sobre la totalidad del impacto.

Transformar

Se identificaron y cerraron las brechas de visibilidad relacionadas con la seguridad entre la empresa matriz y la organización afectada.

“Unit 42 proporcionó los conocimientos y las habilidades de manera oportuna para ayudar al equipo de respuesta ante incidentes y a la alta dirección a sentirse seguros de que se habían mitigado los riesgos asociados con un autor de amenaza activo."

CIO

First trigger point

Evaluar

Investigar

Proteger

Recuperar

Transformar

Deslizar hacia la derecha

Línea de tiempo de resolución

Evaluar

Investigar

Proteger

Recuperar

Transformar

Días 0 a 1
Intervención en casos de crisis

Se evaluó la amplitud y gravedad del incidente, se identificaron los indicadores de vulneración (IoC) y se determinó la atribución del autor de la amenaza.

Se llevó a cabo una investigación forense de los sistemas afectados conocidos para comprender toda la actividad no autorizada y buscar IoC en todo el entorno de la empresa.

Se utilizaron las herramientas existentes para obtener visibilidad rápidamente y se identificaron las brechas.

Días 2 a 5
Contención

Gracias a la inteligencia de amenazas de Unit 42 y a los IoC, se identificó al autor de la amenaza como una APT china en el marco de la campaña TiltedTemple.

Se continuó con la búsqueda de IoC conocidos y se identificaron nuevos TTP.

Se implementó Cortex XDR® en sistemas con brechas de cobertura identificadas para ampliar la visibilidad.

Se aislaron las amenazas identificadas y se supervisaron las actividades de persistencia y la exposición de datos.

Días 6 a 10
Restauración

Se llevó a cabo una detección de amenazas más amplia en todo el entorno de la empresa para identificar la actividad de autores de amenazas desconocidos en la actualidad.

Se llevó a cabo un análisis de frecuencias y anomalías con Cortex Xpanse® para identificar actividades potencialmente maliciosas.

Se confirmó que se expulsó al autor de la amenaza y que se erradicó la amenaza y se proporcionaron detalles al cliente sobre el impacto del incidente.

Se identificaron brechas y se asesoró sobre cómo reforzar eficazmente las vulnerabilidades para mejorar la postura de seguridad del cliente.

Last trigger point

Respuesta ante incidentes basada en amenazas

Gracias al equipo de respuesta ante incidentes de Unit 42, manténgase por delante de las amenazas y fuera de las noticias. Investigue, contenga y recupérese de los incidentes más rápidamente y salga más fortalecido que nunca, respaldado por todo el poder de la empresa líder mundial en ciberseguridad. Póngase en contacto con nosotros para obtener tranquilidad.

HABLE CON UN EXPERTO HOY MISMO

Con el respaldo de los mejores del sector

  • Threat Intel logo icon
    Inteligencia de amenazas

    Amplia telemetría e inteligencia para acelerar la investigación y la corrección.

  • Technology icon
    Tecnología

    Plataforma de Palo Alto Networks para una visibilidad en profundidad a fin de encontrar, contener y eliminar amenazas más rápidamente, con interrupciones limitadas.

  • Experience symbol
    Experiencia

    Expertos de confianza que se movilizan rápidamente y actúan con decisión en más de 1000 incidentes por año.

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas