Establezca una estrategia para detectar vulnerabilidades dentro de un complejo tan complejo, en una estructura cooperativa donde la infraestructura física se distribuye en múltiples tiendas o almacenes. Fue a esta ardua hoja de ruta que Vincent Lefret, el RSSI de U Tech, fue atacado, el DSI de U de U, que reúne a más de 1,700 tiendas y empleó a más de 75,000 personas. "Uno de los enfoques posibles habría consistido en la configuración de la micro segmentación, pero esto requiere muy bien saber que los flujos de la aplicación. No tuvimos la madurez necesaria", reconoce el RSSI, que se expresó durante los Asuntos de Seguridad (Mónaco, del 9 al 11 de octubre). "Sin olvidar la carga operativa que genera esta solución y el hecho de que nos registramos con una visión de la migración de la nube", dice el funcionario.

Después de un prototipo de mañana sobre micro segmentación, U Tech luego recurrió a una solución NDR (detección de red y respuesta). Con especificaciones específicas. En particular, la necesidad de contextualizar y priorizar alertas, limite la carga de equipos en términos de mantenimiento en condiciones operativas y, sobre todo, no cree ningún riesgo en la continuidad de la producción. Una lista de requisitos previos que lleva al distribuidor a retener la solución de detección conductual de Vectra, probada durante un prototipo en agosto de 2021. El enfoque del editor californiano, basado en el análisis de una copia de flujos de red, ofrece garantías particulares sobre la falta de impacto en la producción.

La importancia de la detección primaria

Ya en enero de 2022, la solución se implementó primero en los entornos centralizados de U Tech, que representa aproximadamente 10,000 direcciones IP. "Este paso nos ha permitido mejorar nuestra comprensión de la solución", dice Vincent Lefret. Luego, el grupo de distribución tarda aproximadamente dos meses en implementar adecuadamente las sondas que monitorean los flujos de red de sus sistemas centralizados. En julio de 2023, Vectra se extendió a puntos de venta, o unas 37,000 direcciones IP. Esto permite al CIO mejorar su conocimiento de los entornos de TI implementados en las tiendas. Luego, en julio pasado, la compañía migra su consola Vectra a la nube, una opción que había excluido al principio. Finalmente, ya en noviembre de 2024, el NDR también debe cubrir los almacenes de U, lo que eleva el total de direcciones IP cubiertas a 50,000.

"La solución nos ofrece una mejor visibilidad en el malware", dice Vincent Lefret. En casos de intrusión probada, es de Vectra que emanó la detección primaria. Lo mismo ocurre durante las pruebas de intrusión de nuestro equipo rojo. Sin embargo, la velocidad de detección es un problema importante en las empresas ", subraya el RSSI. Las alertas de Vectra también se integran en el SoC administrado que monitorea los entornos minoristas.

Adaptarse a la mudanza a la nube

Según el RSSI, la instalación del NDR también ha permitido proporcionar más visibilidad en la sombra o el equipo exótico a veces desplegado en tiendas o almacenes. O incluso detectar errores de configuración que han pasado desapercibidos hasta entonces. "Es un complemento esencial para el EDR, la correlación entre los dos funciona muy bien", señala Vincent Lefret.

Al igual que muchos de sus competidores, el distribuidor comenzó un giro a la nube (GCP en este caso). "El desafío sobre el NDR consistirá en mantener la misma capacidad de detección con esta evolución", dijo el RSSI. Este último también planea exportar los metadatos almacenados en la nube de Vectra, para correlacionarlos y producir análisis adicionales. "La consolidación de los metadatos es un problema real para RSSI", advierte.