Soluciones integrales de seguridad de Microsoft

Quitable Bank (EQB) se toma muy en serio su reputación como Challenger Bank de Canadá. Decidida a superar su posición actual como el octavo banco más grande del país, la compañía protege celosamente la seguridad de los datos, pero también trabaja arduamente para preservar la agilidad que necesita para innovar rápidamente. Cuando una prueba de ciberseguridad del Mandiant Red Team reveló debilidades en sus defensas de seguridad, la JCA tomó medidas. Reemplazó dos soluciones de gestión de eventos e información de seguridad con Microsoft Sentinel e implementó soluciones Microsoft 365 Defender para cubrir puntos finales, identidades y aplicaciones en la nube. Después de experimentar resultados sorprendentemente mejores en su segunda prueba un año después, la JCA sabe que está en el camino correcto. Sus implementaciones de Microsoft y su espíritu innovador continúan.

“La diferencia que logramos en seguridad después de instalar Microsoft 365 Defender y Microsoft Sentinel fue muy afirmativa para el equipo. Tuvimos 16 detecciones en comparación con 1 el año anterior, y cada una de esas detecciones provocó investigaciones por parte de nuestro equipo de operaciones de seguridad”.
— Andrew Vezina: vicepresidente y director de seguridad de la información de Equitable Bank

Equitable Bank (EQB) no deja nada al azar mientras traza su trayectoria ascendente. Haciendo honor a su título de Challenger Bank de Canadá, la empresa fue nombrada el banco número uno de Canadá en la lista Forbes de 2021 y 2022 de los mejores bancos del mundo. La JCA busca impulsar el cambio en la banca canadiense para enriquecer la vida de las personas, y esta misión se reduce a una sola cosa: la confianza. Es por eso que EQB ancla la agilidad y la innovación que necesita para desafiar la banca tradicional con la mejora de seguridad que logró con las soluciones de seguridad Microsoft 365 E5. Estos incluyen Microsoft Defender for Endpoint para monitorear sus servidores y estaciones de trabajo, Microsoft Defender for Identity para encontrar vulnerabilidades en sus usuarios y entorno anterior, y Microsoft Defender for Cloud Apps para proteger aplicaciones como Microsoft Teams. Protege tanto su entorno Azure como el local con Microsoft Sentinel, creando un entorno unificado y fácil de administrar, en contraste con su anterior entorno de seguridad de múltiples proveedores. Lo más importante es que el nuevo enfoque demostró su mérito con respecto a la iteración anterior cuando la JCA desafió su postura de seguridad con una prueba del Equipo Rojo de Mandiant, mejorando el resultado desalentador del sistema anterior con 16 detecciones y frustrando la infiltración lateral.

Mantener la magia de forma segura

Andrew Vezina considera que su papel como vicepresidente y director de seguridad de la información en Equitable Bank es uno de los que permiten cumplir las ambiciones de la empresa. “La confianza del cliente es esencial para nuestro éxito y nuestro crecimiento futuro”, insiste. “El objetivo de nuestro equipo de seguridad es proteger esta confianza y preservar nuestra capacidad de crecer y lograr nuestros objetivos”.

En el otro lado de la ecuación de crecimiento, los equipos de tecnología de EQB innovan a un ritmo, adelantándose a sus competidores con una velocidad de desarrollo atípica en la industria. “A medida que desarrollamos y mejoramos sistemas, nuestro equipo de seguridad quiere mantener la magia: la rápida toma de decisiones, el rápido desarrollo y los rápidos lanzamientos de productos que apreciamos en EQB”, dice Vezina. “Diseñamos todas nuestras capacidades para evitar las fricciones y ralentizaciones impuestas por los equipos de seguridad de otras organizaciones”. Destaca el principio clave que sigue su equipo para seguir esa línea: aprendizaje y mejora continuos.

Simplificación en todo el panorama mediante consolidaciones de proveedores

Como parte de las actividades de mejora continua de la empresa a finales de 2020, el impulso de Vezina por simplificar a los proveedores descubrió múltiples proveedores de seguridad que proporcionaban funcionalidades superpuestas y todavía necesitaba una solución de detección y respuesta de endpoints (EDR) totalmente capaz. “Teníamos tres agentes de endpoint orientados a la seguridad, y cuando comenzamos a considerar un cuarto agente para implementar una plataforma EDR, nos dimos cuenta de que Defender for Endpoint podía proporcionar toda esa funcionalidad”, recuerda. “Los reemplazamos todos, implementamos Defender en todos nuestros servidores y estaciones de trabajo y evitamos la compra de EDR”.

Ese único movimiento transformó la gestión tecnológica de la JCA. “Ahora que tenemos Defender for Endpoint, seguimos la hoja de ruta, el ciclo de vida y el ciclo de lanzamiento de una solución en lugar de cuatro”, afirma Vezina. Su equipo aplicó la misma estrategia a sus soluciones de gestión de eventos e información de seguridad (SIEM). Anteriormente, EQB protegía sus sistemas locales con un SIEM y su entorno de nube con un producto SIEM diferente. Aparte de la complejidad, el equipo quería mejorar la puntuación de seguridad del 55 por ciento para los servidores que envían registros a los SIEM. Sus mejores esfuerzos elevaron la seguridad a sólo los años 70. En junio de 2021, el equipo implementó Microsoft Sentinel para fuentes de registro locales, reemplazando la solución SIEM local y, tras este éxito, el equipo también reemplazó la solución SIEM en la nube en diciembre de 2021. “Nuestro registro de servidor se disparó hasta el nonagésimo percentil poco después de que migramos a Microsoft Sentinel”, dice Vezina. “Con nuestro entorno Azure y Microsoft Sentinel, es más fácil conectarse y administrar datos de registro, y es mucho más sencillo de usar”. La empresa ha migrado el 70 por ciento de sus cargas de trabajo a Azure y planea ser un banco 100 por ciento basado en la nube para 2026. “Planeamos estar completamente en la nube, siendo el primer banco en Canadá en lograr esto”, agrega Vezina.

Desafiando las defensas de ciberseguridad con una simulación del Mandiant Red Team

Vezina no estaba dispuesto a esperar a que se produjera un ataque de ciberseguridad para evaluar la eficacia de la ciberseguridad de la JCA. En el otoño de 2020, su equipo organizó una simulación de ataque del Mandiant Red Team para ayudarlo a comprender y remediar las vulnerabilidades del banco, pidiéndole que encontrara y exfiltrara un conjunto de datos personales. El equipo rojo no pudo violar las protecciones del perímetro y sus intentos de phishing fracasaron, por lo que la simulación pasó a un supuesto compromiso en el que la JCA proporcionaba un punto de apoyo inicial en el entorno. A partir de ahí, se logró el movimiento lateral, avanzando a través de múltiples pasos para establecer un punto de apoyo secundario en los sistemas de la JCA, un logro que le daría a un ciberatacante de la vida real exactamente la posición necesaria para llevar a cabo objetivos maliciosos. Esa simulación provocó solo una detección por parte de las herramientas de seguridad que el centro de operaciones de seguridad (SOC) de la JCA estaba utilizando en ese momento. “Fue una llamada de atención para nuestro equipo”, recuerda Vezina. “Y la única detección que surgió pareció un falso positivo para nuestro SOC”.

Siguió un año de extensa renovación de la ciberseguridad. El equipo reemplazó ambos SIEM con Microsoft Sentinel e implementó Defender for Endpoint, Defender for Cloud Apps y Defender for Identity para brindar capacidades de detección y respuesta extendidas (XDR) para integrar y automatizar la detección y respuesta de amenazas en endpoints, aplicaciones e identidades. También comenzó a implementar políticas de Confianza Cero. Vezina reorganizó el equipo de seguridad para tener un grupo dedicado a la detección y respuesta. Luego, en el otoño de 2021, Vezina invitó al Mandiant Red Team a un compromiso de regreso. Esta vez, los objetivos del equipo se ampliaron más allá del simple robo de datos para incluir la instalación de malware. Los resultados fueron dramáticamente diferentes.

Cambiando las tornas con Microsoft SIEM plus XDR

El Equipo Rojo de Mandiant atacó el perímetro de la JCA sin éxito y tampoco logró acceder a los datos del banco a través de empleados de phishing. Esta vez, cuando la simulación pasó a un supuesto compromiso, Vezina proporcionó dos estaciones de trabajo como punto de apoyo inicial para el equipo rojo. Un miembro del equipo de la JCA que estaba ayudando con la simulación instaló un archivo del equipo rojo que creó un punto de entrada en ambas estaciones de trabajo. La primera estación de trabajo que se probó fue utilizada por un empleado que había hecho la transición a la nueva arquitectura Zero Trust del banco, accediendo a las aplicaciones de la JCA exclusivamente a través de Internet con autenticación y autorización sólidas y sin acceso a la red interna de la JCA. Después de un día de ataque persistente por parte del Mandiant Red Team, los actores maliciosos no pudieron moverse lateralmente a ningún otro sistema y se limitaron a poder acceder a algunos datos en la estación de trabajo de ese usuario.

La segunda estación de trabajo presentó al equipo rojo una situación completamente diferente: un empleado que trabaja en la arquitectura anterior accediendo a las aplicaciones de la JCA a través de la red corporativa tanto cuando trabaja desde casa como desde la oficina de la JCA. En cuestión de horas, el equipo obtuvo acceso a otros dispositivos e identidades. Si bien se infiltró el sistema, la buena noticia residió en la cantidad de detecciones provenientes de todas las soluciones de seguridad de Microsoft implementadas en todo el entorno, especialmente dado que la solución completa de seguridad de Microsoft no se instalaría por completo hasta finales de 2022. El equipo de seguridad de la JCA fue muy proactivo, aprovechando al máximo la visibilidad que ofrecían sus herramientas XDR. “La diferencia que logramos en seguridad después de instalar Microsoft 365 Defender y Microsoft Sentinel fue muy afirmativa para el equipo”, dice Vezina. “Tuvimos 16 detecciones en comparación con 1 el año anterior, y cada una de esas detecciones provocó investigaciones por parte de nuestro equipo de operaciones de seguridad, que persiguió vehementemente al Equipo Rojo de Mandiant”.

Siete de las detecciones provinieron de Defender for Identity. “Defender for Identity superó nuestras expectativas”, recuerda Vezina. “Detectó múltiples ataques del equipo rojo contra nuestras identidades locales durante nuestra simulación. Podríamos seguir gran parte del progreso del ataque en el portal Defender for Identity. No hubo ruido ni falsos positivos”. A través de Defender for Identity, el equipo pudo detectar alertas, incluidas exposiciones sospechosas, actividad sospechosa del propietario y del usuario del sistema y comunicaciones sospechosas a través de servidores DNS. El equipo recibió varias alertas de Defender para Endpoint, instaladas principalmente en servidores EQB en ese momento, y dos de Microsoft Sentinel y Defender para aplicaciones en la nube, que entonces solo se encontraban en las primeras etapas de implementación. Ahora, trabajando para combinar sus reglas SIEM con eventos, el equipo ha estado agregando más capacidades de Defender para Endpoint y Defender para Aplicaciones en la Nube a lo largo de 2022, y también ampliará la seguridad de EQB con capacidades de gestión de riesgos internos de Microsoft 365 E5.

Las pruebas del equipo rojo de 2021 validaron el camino que Vezina y su equipo de operaciones de seguridad han trazado, pero está convencido de que el viaje no ha terminado de ninguna manera. El equipo de la JCA continuará aprendiendo y mejorando sus prácticas y ampliando sus herramientas de seguridad de Microsoft mientras continúa su migración a la nube. “Las mejoras de seguridad que logramos con nuestras herramientas de Microsoft validaron nuestra confianza en que estamos en el camino correcto”, concluye Vezina. “Continuaremos probando y mejorando, y les daremos a los equipos rojos mayores desafíos en el futuro”.