La Conselleria de Salut de la Generalitat Valenciana automatiza la búsqueda de amenazas con WatchGuard-Cytomic
- PROYECTOS
Tras las lecciones aprendidas con la pandemia y ante el incremento de ciberamenazas, el organismo público de salud de la Generalitat Valenciana ha desplegado una plataforma cloud para acelerar el Threat Hunting.
Recomendados En busca del Gobierno Abierto Especial |
WatchGuard-Cytomic Orion es una solución cloud que automatiza búsquedas de amenazas malwareless, triajes de alertas y la investigación de casos gracias a la aplicación de análisis de eventos e inteligencia de amenazas, y ha sido la plataforma seleccionada por la Consellería de Salut de la Generalitat Valenciana para incrementar los mecanismos de seguridad de su red. Con esta solución, los analistas de seguridad del organismo público pueden contar con guías en el proceso de triaje, investigación y reacción inmediata, pasando de tener una estrategia de seguridad defensiva a una postura ofensiva que reduce sensiblemente los tiempos de investigación y remediación.
La implantación de esta solución se produce como complemento a la plataforma WatchGuard-Cytomic EPDR, para la seguridad de los endpoints, por la que la entidad sanitaria se decantó cuando tuvo que proteger todos los equipos que, de pronto, tuvieron que conectarse en remoto a su red al estallar la pandemia.
La Conselleria de Sanidad Universal y Salud Pública de la Generalitat Valenciana cuenta con una estructura multicentro que se vertebra en torno a 24 departamentos de salud y 29 hospitales; esto implica 37 CPD, 1.100 servidores y más 35.000 equipos de usuario repartidos por los distritos centros de la región. Todas estas comunicaciones y operaciones se canalizan a través de un CPD central. A esta infraestructura se añade que, a la red corporativa de la Conselleria, se conectan adicionalmente a través de VPN un numeroso grupo de empresas que abarcan desde laboratorios y proveedores hasta firmas que se encargan del desarrollo de apps o del mantenimiento del software.
Esta complejidad se disparó con la llegada de la pandemia de la Covid-19. “Era una situación totalmente nueva para nosotros que suponía un enorme desafío, pues nunca nos habíamos encontrado con un escenario igual en este país. La experiencia del teletrabajo hasta este momento no existía y a esto se añadía que debíamos reaccionar muy rápido, pues teníamos que planificar cómo enviar a más de 3.000 personas a trabajar desde su domicilio en cuestión de días garantizando la seguridad de las conexiones y de los datos frente a posibles ataques informáticos o fugas de información”, explica Antonio Grimaltos, técnico de la Oficina de Seguridad de la Información (OSI) de la Conselleria de Sanidad Universal y Salud Pública de la Generalitat Valenciana. “A esto se sumaba otro reto: debíamos combatir el incremento del ransomware y del volumen de amenazas que se había producido en relación con la pandemia y que tenían en su punto de mira especialmente a los hospitales”.
Ante este escenario, la institución tenía que securizar unos 2.600 equipos particulares de sus trabajadores, pues solo contaba con 400 equipos corporativos habilitados para trabajar y conectarse desde fuera de la red corporativa. Esto suponía que el número de conexiones por VPN a las apps de la Consellería o a su escritorio remoto (RDP) iba a crecer exponencialmente, por lo que había que estudiar con detalle qué impacto podrían producir todos esos equipos personales parametrizados en un entorno familiar al conectarse a la organización.
Para garantizar la conexión de dichos equipos personales al entorno de la Consellería de Sanidad asegurando la privacidad de los usuarios, comprobando que estaban limpios (se detectó que un 25% de ellos tenía malware) y que iban a producir el menor impacto posible, se realizó un trabajo previo para determinar qué comunicaciones y aplicaciones iban a ser realmente esenciales y qué necesidades de personal y equipamiento se requerían. Además, se optimizó la infraestructura y se realizaron mejoras en el servidor VPN y en la sonda de IDS que recoge los eventos de ciberseguridad.
De forma paralela, el CCN lanzó una petición a las firmas de ciberseguridad y TI para ver cómo podían ayudar a las organizaciones públicas en este estado de pandemia. En este punto fue donde se inició la relación con WatchGuard-Cytomic, cuya solución EPDR resultó selecionada para proteger los equipos particulares. “Junto a la sencillez y a las altas capacidades de la herramienta, una de las razones de peso por la que elegimos el EPDR de WatchGuard-Cytomic fue que permitía anonimizar al usuario”, subraya Grimaltos. “Esto era una condición innegociable. No teníamos -ni tenemos en el momento actual- interés en saber quién es el usuario de un equipo, qué hace en su tiempo libre o a qué se conecta. WatchGuard-Cytomic nos permitía parametrizar la privacidad de manera que solo se guardara el nombre del equipo y la IP local del mismo, y solo en caso de incidentes se analizaría la conexión. Esto convenció a los usuarios de que podían instalar WatchGuard-Cytomic en sus portátiles personales con total tranquilidad”.
La solución permitía la supervisión continua y centralizada de todos los equipos, la detección y clasificación de toda la actividad, y el bloqueo de los comportamientos anómalos de usuarios, máquinas y procesos dotando de una capa de inteligencia adicional de protección que permitía estar un paso por delante de los atacantes, además de facilitar la configuración de la privacidad de los usuarios.
Del mismo modo, la consola de WatchGuard-Cytomic reveló que, durante mucho tiempo, la puerta de la Consellería estaba abierta de par en par para que se conectara prácticamente quien quisiera solo a través de la VPN. Pero como organismo público, se debe cumplir con el Esquema Nacional de Ciberseguridad y todos aquellos que se conecten a los sistemas deben cumplir unos requisitos determinados, entre ellos tener el OS actualizado, contar con un antivirus que cumpla las características del CCN y esté actualizado. “WatchGuard-Cytomic EPDR fue una gran parte de la solución en este sentido, pues nos ayudó a ver que los equipos en los que estaba instalado cumplían con la segunda obligación, lo que nos daba garantías de la calidad de las conexiones”, dice Grimaltos.
Además, la herramienta de WatchGuard-Cytomic permite crear grupos diferentes para investigar incidentes, facilitando la investigación de eventos de seguridad y limitando las páginas a las que se accede en un momento determinado. “Esto último jugó un papel fundamental a la hora de la desescalada, ya que teníamos que tener la certeza de que un usuario que dejara de teletrabajar no se iba a conectar más a través de la VPN, con lo cual, la condición para desinstalar WatchGuard-Cytomic de su endpoint era que previamente tuviera desinstalada la VPN. De lo contrario, el usuario podría seguir accediendo a la infraestructura de la Conselleria estando protegido y también nuestros sistemas”, añade el técnico.
Del mismo modo, se cedieron licencias de WatchGuard-Cytomic a las residencias, a las mutuas y a otras entidades que se conectaban para enviar análisis y otros materiales, “porque no podíamos fiarnos de nadie. Los ciberatacantes estaban al acecho y nos podíamos asumir ningún riesgo. Todas las conexiones a la infraestructura de la Conselleria debían ser analizadas”, continua Grimaltos.
“Llegamos a tener 2.997 máquinas registradas en la consola de la Conselleria al mismo tiempo. Entre los meses de marzo y diciembre de 2020 recibimos entre 50.000 y 70.000 alertas de ciberseguridad, de las cuales 1.464 correspondían a distintos tipos de malware.Y lo mejor de todo, es que no tuvimos que lamentar ningún incidente. Todos los ataques fueron detectados y neutralizados. Superamos la prueba. Mantenemos la plataforma WatchGuard-Cytomic para las conexiones de los equipos de nuestros usuarios que se conectan por VPN. Actualmente contamos con 5.000 licencias de EPDR”, concluye Grimaltos.