La ciudad de Marsella confía en un SOC externalizado tras su ciberataque
hace 3 años
Golpeada por un ciberataque a gran escala por ransomware, la ciudad de Marsella se ha recuperado. La solución de firewall de aplicaciones Cloud Protector de Rohde & Schwarz Cybersecurity ha evitado muchos ataques, como nos explica Jrme Poggi, CISO de Marsella.
Marzo de 2020 fue sinónimo de confinamiento para toda Francia. Para la ciudad de Marsella, este período también estuvo acompañado de un ciberataque de una escala sin precedentes. Junto a la metrópolis de Aix Marsella y otras ciudades como Martigues e Istres, la ciudad de Marsella ha visto paralizado su sistema de información por el ransomware Mespinoza/Pysa. “Cuando hay un ciberataque, no lo esperamos, no queremos creerlo”, explicó Jérôme Poggi, CISO de la ciudad de Marsella. Este ciberataque que tuvo lugar el 14 de marzo de 2020 tuvo un impacto considerable y constituye una crisis sin precedentes en un contexto muy particular. “Llegó el día antes de la primera vuelta de las elecciones municipales y el confinamiento. Nos habría ido bien sin él ”, dice Jérôme Poggi.
Antes de restaurar y reiniciar su sistema de información, la ciudad se aseguró de que ninguna otra carga maliciosa estuviera lista para reactivarse. “Nos tomó un poco de tiempo volver a subir porque fuimos muy cuidadosos, tuvimos que confirmar que ya no había ningún impacto particular en el SI”, continúa Jérôme Poggi. Tras este ciberataque de ransomware, servicios como el Registro Civil pudieron aguantar mucho tiempo sin TI, pero era mucho más complicado para la gestión de cementerios y concesiones y se necesitaban 72 horas para encontrar un SI funcional para gestionar esta necesidad. . trabajo.
Firewall de aplicaciones en la nube implementado en días
La ciudad de Marsella se vio afectada a pesar de los medios y recursos ya movilizados como la segmentación de la red interna y el firewall de aplicaciones con Cloud Protector de Rohde & Schwarz Cybersecurity. “Cuando no crees que vas a ser un objetivo, nunca estás lo suficientemente preparado”, desliza Jérôme Poggi. Desde este ciberataque, la ciudad ha aumentado considerablemente su nivel de seguridad reforzando parte de sus defensas en profundidad, aislamiento de elementos críticos y segmentación.
La solución Cloud Protector lleva el firewall de aplicaciones a la nube y ha permitido que Marseille ya no tenga que administrar internamente toda la infraestructura de filtrado, monitorearla y actualizarla. Inicialmente, solo unos pocos sitios estaban protegidos con el consiguiente aumento a partir de entonces. "Es una solución haz clic y olvida, configuramos y dejamos que suceda”, confiesa Jérôme Poggi. “Rara vez volvemos a él, de vez en cuando para verificar y confirmar las reglas y configuraciones. No hay necesidad de agentes y sondas, es reenvío de DNS, hay muy poco que configurar”. Cloud Protector ha impedido muchos ataques a los sitios web de la ciudad de Marsella, a pesar de un contexto de confinamiento delicado. La implementación de Cloud Protector resultó ser muy sencilla, en pocos días, y se realizó de forma transparente salvo algunas redirecciones de DNS y la configuración relacionada con el nivel de seguridad deseado, los accesos a bloquear y las listas blancas y negras. .
La tecnología al servicio de las personas
La ciudad de Marsella no pretende detenerse en tan buen camino para expandir sus recursos cibernéticos, con el uso de un centro de seguridad operativo en un futuro próximo. “Vamos a tener un llamado a licitación de un SOC tercerizado, es algo necesario. No tenemos los medios ni el tiempo, es posible que tengamos muy buenos técnicos en la ciudad de Marsella, dado que el mercado de reclutamiento es extremadamente complicado, entonces recurrimos a servicios externos ”, explica Jérôme Poggi. Sin embargo, no se trata de cambiar por completo a la subcontratación. “El 14 de marzo lo que nos salvó fue la capacidad de respuesta de nuestros equipos y cuando hemos tercerizado es más complicado. En tiempos de crisis, el tiempo se mide en minutos. Solo tenemos que perder la información y el boleto y ya es demasiado tarde.
La experiencia humana en ciberseguridad, por lo tanto, parece esencial a los ojos de la ciudad de Marsella con una buena distribución de la carga con las herramientas. “La técnica debe estar al servicio del ser humano y permitirle realizar menos tareas repetitivas y perder menos tiempo”, analiza Jérôme Poggi. “Esto es lo que debe hacer un EDR, que realizará análisis de comportamiento y alertará a los humanos”. Con más de 2000 eventos de seguridad por segundo, es difícil, si no imposible, confiar el análisis a un ser humano. “Podremos sacar solo la médula del ataque, que es importante y dejar de lado los escaneos masivos y otros ataques que tienen poco efecto”. Los próximos meses estarán ocupados en términos de proyectos cibernéticos para la ciudad de Marsella, en particular, la implementación de un Bastion (Wallix), cambios en la solución F-Secure EDR, el SOC subcontratado para capitalizarlo. Sin mencionar también la mejora de los cambios a nivel de la red central y una mayor relación con Anssi.
Si quieres conocer otros artículos parecidos a La ciudad de Marsella confía en un SOC externalizado tras su ciberataque puedes visitar la categoría Otros.
Otras noticias que te pueden interesar