El grupo Bancassurance Crédit Mutuel Arkéa es el segundo fondo federal del Grupo Crédit Mutuel. Reúne los fondos regionales de Brittany y Southwest y también tiene más de treinta subsidiarias especializadas. El grupo atiende a más de 5 millones de clientes y emplea a más de 11,000 personas. Deseando aligerar el cargo de su equipo de respuesta a incidentes, la compañía desplegó en 2022 la solución de prevención contra las intrusiones de Crowdsecque hoy contribuye a una mejora global en la seguridad.

En 2021, el crédito de Crédit Mutuel Arkéa estaba buscando una solución para bloquear automáticamente las IPS asociadas con un comportamiento anormal, en particular en los servicios de autenticación, los atacados con mayor frecuencia. El equipo acababa de comenzar una prueba de concepto con la herramienta de prevención de intrusiones de crowdsec cuandoUna falla identificada en Apache Log4J ha puesto el mundo de la ciberseguridad hirviendo. "Hemos establecido una unidad de crisis", recuerda Guillaume Roussel, gerente operativo a cargo de SI en Crédit Mutuel Arkéa. En ese momento, CrowdSec les ofrece un escenario anti Log4J, que el equipo se apresura a implementar. En el espacio de 48 horas, se implementa en todo el sistema de información, lo que permite contener la onda.

Índice
  1. Seguridad mejorada en diferentes niveles
  2. CTI interfacido con el Siem

Seguridad mejorada en diferentes niveles

Después de este episodio, se toma la decisión de industrializar la solución. Esto se instaló tanto en la plataforma interna de metal desnudo del grupo como en su nube privada, con scripts que permiten embarcarse automáticamente la herramienta en cada nuevo servicio web implementado en ella. Con resultados concluyentes. "Hemos eliminado entre 40% y 50% de ruido de fondo", dice Guillaume Roussel. Para el equipo de respuesta al incidente, que tiene diez personas, estima el tiempo ahorrado en alrededor de 2 ETP (equivalente a tiempo completo). La herramienta también hizo posible reducir considerablemente la carga en los servidores, en términos de CPU y RAM.

"Los escenarios ofrecidos por defecto ya funcionan muy bien, pero también hemos realizado algunos ajustes, para indicar, por ejemplo, las IP autorizadas o desbloquear temporalmente algunas aplicaciones mal configuradas, lo que hizo llamadas de ráfaga", explica el gerente. Las anomalías observadas fueron devueltas a los equipos de desarrollo, lo que hizo posible mejorar el código, en el espíritu de DevSecops. Otra anécdota, las pendientes también han sido bloqueadas por la herramienta. "Les empujó a buscar ataques más avanzados", dice Guillaume Roussel, también ayudando a fortalecer la ciberseguridad de una manera global.

En comparación con un WAF (firewall de aplicación web), la solución también ha demostrado ser menos pesada de configurar. "La herramienta es bastante fácil de no necesitar solicitar a los equipos de negocios", señala Guillaume Roussel. Otra ventaja, el tiempo de bloqueo se gestiona automáticamente. "Esto evita terminar con IP bloqueada durante años sin recordarla, mientras sirve como advertencia para los atacantes, que son bloqueados si vuelven a intentar una intrusión", señala al gerente.

CTI interfacido con el Siem

El equipo de Crédit Mutuel Arkéa aprecia en particular la dimensión colaborativa y comunitaria de Crowdsec. A través de su portal CTI (inteligencia de amenazas cibernéticas), todos los usuarios comparten información sobre atacantes en tiempo real, como IP maliciosas y tendencias de ataque. “La gran fuerza de la solución es esta información sobre la tipología de los atacantes. El portal nos permite anticipar y predecir ciertos eventos. Incluso podemos ir más allá, estableciendo tipologías de ataques para nuestro sector, con otros jugadores financieros ", subraya al funcionario. El Sistema de Gestión de Eventos e Información de Seguridad del Grupo (SIEM), por cierto, con la solución para cuestionar los datos de CTI. El equipo incluso desea ir más allá, recuperando los registros enriquecidos por crowdsec para hacer diferentes correlaciones dentro del SIEM.

Desde su despliegue, la solución del crowdsec ha tenido otras oportunidades para demostrar su valía, bloqueando en particular las olas de los ataques de la fuerza bruta contra las subsidiarias del grupo. "Es un poco fallado2ban* bajo anfetaminas", se ríe Guillaume Roussel. Hoy, el equipo continúa desarrollando escenarios, en particular para construir modelos más orientados a los negocios, con enfoques de detección específicos para diferentes aplicaciones. También planea usar la solución para detectar ataques transversales dentro de su sistema de información.

* Nota del editor que le permite a IP desterrar automáticamente de acuerdo con ciertas condiciones.