Con los aviones en tierra y su negocio principal interrumpido por la pandemia, Manchester Airports Group (MAG) siguió adelante, promulgando una nueva estrategia de ciberseguridad y abandonando un proveedor externo de larga data en favor de su propio centro de operaciones de seguridad interno. (SOC) apoyado por Bridewell Consulting. Dice que está cosechando los beneficios en términos de mayor resiliencia y visibilidad.
A pesar de su nombre, MAG opera otros dos aeropuertos importantes del Reino Unido, East Midlands y London Stansted, y maneja colectivamente 60 millones de pasajeros al año. Como elemento importante de la infraestructura nacional crítica (CNI) del país, requiere un monitoreo continuo de todos los diversos elementos de su patrimonio de TI.
Hay muchos que dicen que esta es la era del SOC-as-a-service, y esa ha sido ciertamente la dirección en la que soplan los vientos predominantes: MAG estaba enganchado a ese tren de vagones en particular, subcontratando su SOC a un tercero. proveedor de seguridad del partido. Sin embargo, en marzo de 2020, Tony Johnson, jefe de operaciones de seguridad cibernética de MAG, se hizo evidente que las cosas debían cambiar.
Él explica: “Ellos [the incumbent] estábamos haciendo un buen trabajo, no había ningún problema con eso, pero para entonces habíamos estado funcionando durante un poco más de tres años, por lo que estábamos llegando al final del contrato existente, y la pila de tecnología estaba lista para un refrescar porque, obviamente, las cosas avanzan mucho en tres años.
“Mi jefe, nuestro CISO, siempre ha querido llegar a un puesto en el que tengamos capacidades internas, la razón principal es que existe la capacidad de ser mucho más reactivo si se cuenta con las personas, las habilidades y la tecnología. “
Johnson y su equipo evaluaron los méritos de permanecer con su proveedor anterior, pero al final se resistieron un poco ante lo que sería una migración masiva a una pila de tecnología de próxima generación, con todo lo que eso implica en términos de gasto de capital y disrupción. y, en última instancia, un aumento de los costes operativos.
“Lo aprovechamos como una oportunidad para dar un paso atrás y preguntar: ¿qué pasaría si gastamos ese dinero y lo hicimos internamente e invertimos en nuestra propia pila de tecnología?” él dice.
“También estábamos sentados y contemplando nuestras opciones a medida que se acercaba el nuevo año financiero, y luego aterrizó la pandemia y pensamos, aprovechemos esta oportunidad para cambiar un poco las cosas”.
La aparición de Covid-19 desorganizó la vida diaria y obligó a MAG a cerrar gran parte de sus operaciones, ya que las aerolíneas redujeron drásticamente los vuelos ante las restricciones de viaje globales. Reflexionando sobre esas extrañas semanas, Johnson dice que la interrupción inicial fue bastante sencilla de manejar, ya que MAG ha sido durante mucho tiempo una casa de Microsoft Office 365, lo que hace que el cambio al trabajo remoto sea una experiencia relativamente indolora.
Por supuesto, la organización experimentó el mismo aumento en la actividad maliciosa que cualquier otra, particularmente en términos de phishing, pero nada lo suficientemente grave como para interrumpir el nuevo plan o presentar desafíos insuperables.
Sala de espera
Aun así, la perspectiva de tomar el SOC de MAG internamente era algo desalentadora, por lo que al comienzo del proceso, Johnson buscó asesoramiento en otras partes del sector de la aviación. Terminó hablando con otro gran aeropuerto del Reino Unido que recientemente se había sometido a un proceso de transformación digital similar, construyendo un nuevo SOC subcontratado con Bridewell Consulting. Las dos organizaciones habían trabajado juntas para implementar una pila de tecnología SOC que incorporaba una combinación de Microsoft Azure Sentinel y Microsoft Defender XDR, e impresionaron a Johnson con su rapidez.
“Desde mi perspectiva, fue realmente interesante”, dice. “Una de las cosas que me preocuparon personalmente fue la velocidad de implementación: ¿qué tan rápido vamos a poder poner en funcionamiento un SOC interno, qué tan rápido vamos a poder poner en marcha esta pila de tecnología?
“El mensaje que recibimos de ese aeropuerto fue que se sorprenderá de lo que puede lograr en unos meses, porque se trata de recursos internos. Es mucho más rápido y más hábil. Ese fue el punto en el que conocimos a Bridewell, aunque la parte interesante de eso fue que no necesariamente sabíamos que era Bridewell porque estaban muy bien integrados con el equipo de esa empresa “.
Johnson agrega: “Nos mostraron lo que habían estado haciendo con la pila Sentinel y Defender y fue después de eso que comenzamos a desarrollar una relación a nivel de conversación con Bridewell. Cuando bajó el centavo y dijimos que lo llevaríamos a la empresa, parecía lógico tener otra conversación con Bridewell como socio de Microsoft, porque conocían nuestro sector y ya habían operado en un gran aeropuerto del Reino Unido. por lo que no debería haber habido sorpresas para ellos “.
Del taxi al despegue
Con el bloqueo nacional del Reino Unido en pleno apogeo y sin pilotos de aerolíneas en funcionamiento, Johnson y su equipo hicieron lo mejor: poner un piloto técnico en funcionamiento.
“Tuvimos algunos fondos de Microsoft para poner en marcha una prueba piloto de nuevo; estaban haciendo un gran esfuerzo para que Sentinel estuviera disponible y en uso porque es relativamente nuevo en el mercado y no estaba necesariamente en los radares de muchas organizaciones”. dice Johnson.
En esta fase de evaluación y piloto, Bridewell asumió una gran cantidad de trabajo preliminar, realizando análisis de brechas y diseño para establecer qué recursos cibernéticos ya estaban disponibles y qué más podría ser necesario, considerando aspectos como las personas, los procesos y la tecnología que se necesitarían. Con una cantidad significativa de personal de MAG en licencia, este fue un desafío particular, pero las cosas se desarrollaron sin problemas y según lo programado y, lo que es más importante, el SOC se trasladó internamente y Bridewell ofreció un modelo híbrido para que el piloto comenzara.
“Obtuvimos algunos criterios de éxito realmente sólidos y bastante simples clavados en el despliegue de Sentinel y Defender, principalmente llevado a cabo por Bridewell usando las manos técnicas del equipo MAG, y rápidamente vimos que el despliegue era muy simple, muy directo y demostró que definitivamente había algo de valor en llevar esto al siguiente nivel ”, dice Johnson.
Al final de la prueba piloto de ocho semanas, el equipo se fijó el objetivo de tener un “SOC mínimo viable” en funcionamiento para el día de Navidad de 2020, una decisión impulsada en parte por el hecho de que el contrato existente expiraba a la medianoche del 23 de diciembre. . Johnson luego elaboró una lista específica de servicios que estaban cubiertos por el contrato anterior y lo estableció como el objetivo principal para garantizar que todo se replicara y se mantuviera antes de un cambio.
“Ese fue siempre el objetivo: asegurarnos de que para cuando nos despidiéramos de nuestro titular, íbamos a estar dentro”, dice Johnson. “Hagas lo que hagas, no puedes permitirte empeorar la situación. Así que ese era nuestro mantra, ¿verdad? Estábamos cómodos de poder lograr eso, basándonos en lo que habíamos visto en términos de la velocidad de implementación a través del piloto “.
Johnson describe el trabajo subsiguiente de implementar un SOC interno en tres aeropuertos geográficamente dispersos en menos de seis meses como el proyecto individual más grande de su carrera, y uno que no habría podido lograr si no hubiera podido apoyarse en el experiencia de un proveedor que ya había estado allí y compró la camiseta; Bridewell incluso incorporó un analista de SOC dedicado dentro del equipo de MAG para mantener las cosas en marcha y también para reducir la necesidad de Johnson de desembolsar más capacitación.
Nivel de vuelo
El objetivo específico de cobertura del 70% del patrimonio de MAG se logró al final de esta fase, y luego las cosas avanzaron a la segunda etapa final de implementación, que se completó en marzo de 2021. Para Johnson, el impacto visible más inmediato fue la visibilidad. sí mismo.
Las herramientas heredadas del titular anterior habían alcanzado un máximo de aproximadamente 5,000 eventos por segundo desde el 75% del estado de MAG IT que podía ver, pero cuando la implementación terminó, el equipo de SOC estaba viendo alrededor de 80,000 eventos por segundo con un 95%. de servidores y puntos finales visibles. Johnson describe los beneficios como inconmensurables.
“Cosas simples como conectar el entorno de Office 365 a la herramienta SIEM nos dieron un nivel extraordinario de visibilidad que nunca habíamos esperado”, dice. “Fue realmente interesante ver cuánta gente está llamando a esa puerta. Supongo que esa es una de las cosas de Office 365: es un servicio alojado en la nube muy público. Eso es lo que lo hace tan útil para nosotros porque significa que puedo sentarme con mi computadora portátil personal frente al televisor e iniciar sesión rápidamente y verificar algo, pero eso tiene un precio.
“Para mí, es realmente evidente el buen trabajo que nuestro titular estaba logrando hacer con mucho menos”.
La nueva inteligencia artificial (IA) y las capacidades de aprendizaje automático han ayudado a allanar aún más el camino. Las herramientas antiguas se basaban en gran medida en casos de uso, con criterios definidos y alertas generadas en función de esos criterios, dice Johnson.
“Con la inteligencia artificial y el aprendizaje automático, ahora es un poco más inteligente y busca conexiones que no están necesariamente definidas específicamente”, dice. “Tenemos una pila de casos de uso que hemos configurado nosotros mismos para actividades muy específicas que estamos buscando. Pero muchas de las alertas sobre las que recibimos son cosas que creemos que parecen sospechosas, pero no hay necesariamente nada concreto que haya provocado que se active esa alerta “.
Un cambio particularmente impactante como resultado de esto ha sido cómo MAG puede lidiar con los ataques de phishing. Como la mayoría de las otras organizaciones, había visto un gran aumento en los ataques de phishing desde el comienzo de la pandemia, con actores maliciosos haciendo todo lo posible para que el personal del aeropuerto hiciera clic en un enlace malicioso.
Antes, la solución implicaba un largo proceso manual, durante el cual el equipo de seguridad necesitaba ponerse en contacto con otros equipos técnicos internos para hacer frente a los informes de phishing. El nuevo SOC, por otro lado, puede detectar automáticamente tales intentos, puede verificar rápidamente que nadie haya hecho clic en algo que no debería haber hecho y luego eliminar la amenaza de cualquier otra bandeja de entrada donde pueda estar al acecho.
Actualización de clase ejecutiva
La culminación de todo esto es que el equipo de seguridad de MAG ahora está planificando cambios de nivel aún más profundos en función de lo que puede hacer ahora. Por ejemplo, dice Johnson: “Estamos buscando ingerir mucha más información sobre amenazas y pasar a un modelo de respuesta mucho más basado en información sobre amenazas, en lugar de alerta, integrándonos con algunas plataformas de información sobre amenazas para ayudarnos a decirnos dónde deberíamos estar”. centrando nuestra atención. Creo que será un gran cambio para nosotros “.
El otro proyecto que ahora está sobre la mesa es extender la cobertura del equipo de seguridad al mundo sin aire de la pila de tecnología operativa (OT) de MAG.
“Por el momento, el objetivo de que esté sin aire es que, ya sabes, es menos probable que se vea comprometido”, dice. “Pero, obviamente, eso también significa que luchamos por obtener visibilidad. Nos gustaría obtener más.
“Ahora estamos buscando tecnologías que nos permitan comenzar a ingerir datos sobre la actividad que está ocurriendo en cosas como nuestros sistemas de equipaje y los rayos X y escáneres corporales de nuestro equipaje de mano, lo que no funciona con un Linux simple. o el sistema operativo de Microsoft “.
Son estos sistemas, que a menudo se ejecutan a medida y, en muchos casos, sistemas operativos muy antiguos, los que están cada vez más en riesgo en un mundo donde los actores de amenazas harán todo lo posible para obtener acceso a las redes de sus objetivos, como los últimos años de ataques. han demostrado.
Una falla en cualquiera de estos sistemas ya es suficiente para causar caos en las operaciones del aeropuerto e impactar a los pasajeros, pero un ataque cibernético podría ser aún más perturbador, por lo que se debe prestar atención y se deben implementar mitigaciones. “Es algo que tenemos, pero definitivamente podríamos hacerlo mejor con tecnologías de próxima generación”, dice Johnson.
Dejando a un lado los planes futuros, Johnson reflexiona sobre la experiencia de pasar de un servicio administrado a uno interno como un logro orgulloso, y algo que en realidad fue bastante divertido. “Fue un gran proyecto, hubo desafíos, pero fue realmente agradable”, dice. “Fue agradable sentarse al final y decir, guau, construimos un SOC. En realidad, no está mal “.