Azienda globale di prodotti tecnologici neutralizza un attacco APT senza downtime

Quando gli autori dell'attacco sono riusciti ad accedere all'ambiente con oltre 10.000 endpoint del cliente nell'ambito della campagna TiltedTemple, Unit 42® ha svelato l'impatto e messo in sicurezza l'azienda.

Risultati
Sfida
Esiti
Contattaci
Risultati
0downtime

Unit 42 ha permesso al cliente di continuare a operare in sicurezza in seguito all'attacco APT

48ore

Attribuzione dell'attacco alla campagna TiltedTemple

4giorni

Determinazione della portata dell'impatto e protezione dell'ambiente

Il cliente

Azienda globale del settore tecnologico

La sfida

Le forze dell'ordine hanno riscontrato traffico di rete in uscita dall'ambiente del cliente che corrispondeva agli indicatori di un APT noto, caratterizzato da una forte elusività e che richiedeva indagini specifiche e accurate. Grazie a Unit 42, il cliente non è incorso in alcun downtime durante l'indagine attiva sull'APT. Ai nostri esperti di risposta agli incidenti è stato chiesto di:

  • Contenere ed eliminare l'autore della minaccia e prevenire i movimenti laterali in seguito all'impatto iniziale.
  • Identificare la causa principale e valutare l'entità dell'attacco.
  • Potenziare i controlli di sicurezza per mitigare ulteriori danni.

Il rigoroso approccio di risposta agli incidenti di Unit 42 per risultati di livello superiore

Valutazione

Considerata la natura dell'autore della minaccia, Unit 42 era consapevole della necessità di una valutazione accurata non soltanto dell'ambiente interessato, ma anche degli ambienti adiacenti e della rete in generale.

Indagini

Per evitare che l'autore della minaccia si nascondesse restando in bella vista, è stata intrapresa una ricerca approfondita delle minacce per individuare immediatamente accessi persistenti, movimenti laterali ed esfiltrazione di dati.

Protezione

La configurazione della ricerca delle minacce e del monitoraggio proattivo 24 ore su 24, 7 giorni su 7 ha offerto una visibilità completa delle attività sulla rete e su tutti gli endpoint.

Ripristino

È stata confermata l'eliminazione dell'accesso dell'autore della minaccia, le backdoor sono state chiuse e Unit 42 è riuscita a illustrare al cliente la totalità dell'impatto.

Trasformazione

Sono state identificate e colmate le lacune di visibilità correlate alla sicurezza tra la capogruppo e l'organizzazione interessata.

"Unit 42 ci ha offerto tempestivamente le conoscenze e le competenze necessarie affinché il team di risposta agli incidenti e i vertici aziendali possano essere sicuri della mitigazione dei rischi associati a un autore di minacce attivo."

CIO (DIRETTORE INFORMATICO)

Primo punto di innesco

Valutazione

Indagini

Protezione

Ripristino

Trasformazione

Scorri a destra

Timeline della risoluzione

Valutazione

Indagini

Protezione

Ripristino

Trasformazione

Giorni 0 - 1
Intervento durante la crisi

Valutazione della portata e della gravità dell'incidente, identificazione degli indicatori di compromissione (IoC) e determinazione dell'autore della minaccia.

Svolgimento di un'indagine forense sui sistemi interessati noti per comprendere tutte le attività non autorizzate e cercare gli IoC nell'intero ambiente aziendale.

Utilizzo degli strumenti esistenti per ottenere una visibilità rapida e identificazione delle lacune.

Giorni 2 - 5
Contenimento

Grazie alla threat intelligence e agli IoC di Unit 42, è stato identificato l'autore della minaccia: un APT cinese nell'ambito della campagna TiltedTemple.

Ricerca continua delle minacce per gli IoC noti e identificazione di nuove TTP.

Distribuzione di Cortex XDR® nei sistemi su cui erano state identificate lacune sotto il profilo della copertura per ampliare la visibilità.

Isolamento delle minacce identificate e monitoraggio di attività persistenti ed esposizioni di dati.

Giorni 6 - 10
Ripristino

Ricerca più estesa delle minacce nell'intero ambiente aziendale per identificare le attività attualmente sconosciute degli autori di minacce.

Analisi della frequenza e delle anomalie con Cortex Xpanse® per identificare le attività potenzialmente dannose.

Conferma dell'espulsione dell'autore della minaccia e dell'eliminazione della minaccia stessa e comunicazione al cliente dei dettagli sull'impatto dell'incidente.

Identificazione delle lacune e formulazione di consigli su come rafforzare efficacemente i punti di vulnerabilità per migliorare il livello di sicurezza del cliente.

Ultimo punto di innesco

Risposta agli incidenti basata sulla conoscenza delle minacce

Scegli il servizio di risposta agli incidenti di Unit 42 per giocare d'anticipo sulle minacce ed evitare di finire sui giornali. Indaga, contieni e ripristina più rapidamente le normali attività in seguito agli incidenti ed escine con una solidità mai vista prima, grazie alla straordinarie capacità dell'azienda leader mondiale nel settore della sicurezza informatica. Contattaci per poter lavorare con la massima tranquillità.

PARLA SUBITO CON UN ESPERTO

Con il meglio del settore in termini di

  • Icona del logo threat intelligence
    Threat intelligence

    Telemetria e intelligence dettagliate per indagini e correzioni più rapide

  • Icona della tecnologia
    Tecnologia

    Piattaforma Palo Alto Networks per una visibilità approfondita che consente di individuare, contenere ed eliminare le minacce più velocemente, con interruzioni limitate.

  • Simbolo dell'esperienza
    Esperienza

    Esperti di fiducia che si attivano rapidamente e agiscono con fermezza in oltre 1000 incidenti l'anno.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce