Nuevos enfoques cibernéticos facilitan la migración a AWS de Registers of Scotland

Registros de Escocia, o RoS, es uno de los servicios de registros públicos establecidos más antiguos en Gran Bretaña e Irlanda, con datos de tierras en su Registro de Sasines (sasine es un término antiguo para describir cómo se poseía y transfería la propiedad en la época feudal) que se remonta a siglos.

El Registro de Sasines, tal como existe hoy en día, fue creado por una ley del Parlamento escocés en 1617, lo que lo convierte en el registro más antiguo del mundo. Sirvió como el principal registro de tierras en Escocia hasta finales de la década de 1970, cuando se modernizó tras los cambios en la legislación nacional.

Sin embargo, el registro moderno, habiéndose construido a lo largo de 40 años, ahora muestra su edad. Además de eso, RoS ha asumido la responsabilidad de más de otros 20 registros que cubren, por ejemplo, propietarios y agentes de arrendamiento, sitios de especial interés científico (SSSI) e incluso las ubicaciones de crofts históricos en Escocia.

No es exagerado decir que las cosas se han vuelto complejas, por lo que RoS ahora está en proceso de cambiar su plataforma en una ambiciosa estrategia de transformación digital que depende de la transición a una infraestructura en la nube de Amazon Web Services (AWS).

Sobre el legado y la deuda

Pero esta transición corría el riesgo de verse obstaculizada por la infraestructura de seguridad heredada y aislada, mientras que, al mismo tiempo, la pandemia de Covid-19 exigió una transición de la noche a la mañana de los procesos basados ​​en papel a un enfoque más innovador para procesar las presentaciones de registro digital.

“Deshacernos del legado, la deuda técnica y todas las vulnerabilidades y los problemas que surgen es realmente importante para nosotros”, dice el arquitecto de seguridad de RoS, Bob Bowden.

“Hasta 2018, y el inicio de la función de seguridad de TI, esencialmente no había servicios de seguridad. Obviamente, teníamos cortafuegos, proxies, antivirus en los terminales, pero se consideraban parte del servicio operativo en lugar de una superposición de seguridad”, dice.

A su llegada a RoS en 2018, la organización acababa de iniciar un programa de análisis de vulnerabilidades. Compró un firewall de aplicaciones web (WAF) que mejoró las cosas marginalmente, pero según admitió Bowden, RoS todavía era “bastante inmaduro” en su capacidad para detectar y responder a incidentes, realizar análisis forenses, etc.

“Aunque es una mala situación porque no teníamos mucho, me hizo la vida mucho más fácil, porque en lugar de tener que unir montones y montones de sistemas individuales, pude armar un caso de negocio para un entorno esencialmente homogéneo, basado en un solo conjunto de tecnologías, con integraciones únicas en el mismo lugar en el que luego podemos escribir reglas de correlación”, explica.

“Para nuestro nuevo equipo de seguridad de TI, compuesto por personas que generalmente no tenían mucha experiencia, esto significaba que les estábamos enseñando a administrar una sola consola y una sola interfaz para priorizar sus incidentes, por lo que el enfoque se vuelve mucho más en incorporar cosas en su forma estándar de trabajo en lugar de enseñarles 500 herramientas diferentes que solo usarán una vez al mes.

“Ha sido una ventaja poder comenzar con un lienzo relativamente intacto”.

Al mismo tiempo, Bowden estaba rediseñando el marco de gestión de riesgos de RoS, que antes de su llegada reflejaba la naturaleza nebulosa de su tecnología de seguridad, que dice que ayudó a obtener tracción con la junta directiva y convencerlos de aprobar lo que se necesitaba. Es posible que un par de incidentes menores de seguridad no hayan obstaculizado su capacidad para presentar el caso, agrega.

juego gigante de tetris

El viaje de RoS con Palo Alto Networks comenzó con una hoja de ruta de seguridad que parecía, dice Bowden, “como un juego gigante de tetris que alguien ha perdido espectacularmente”.

La introducción a Palo Alto se produjo un poco por casualidad, ya que Bowden y su equipo habían estado buscando una plataforma de gestión de la postura de seguridad en la nube (CSPM) y estaban a punto de firmar con un proveedor alternativo, uno grande y conocido, durante el curso de lo cual descubrieron que el equipo de la red RoS buscaba mudarse de los firewalls de ese mismo proveedor a Palo Alto.

”Pude armar un caso de negocios para un entorno homogéneo, basado en un solo conjunto de tecnologías, con integraciones únicas en el mismo lugar”

Bob Bowden, Registros de Escocia

“Así que decidimos mirar el producto CSPM de Palo Alto [Prisma Cloud]”, dice Bowden. “Mientras discutíamos eso, no solo nos impresionó y su facilidad de uso, sino que fue drásticamente más intuitivo que la otra oferta.

“Luego hablamos con Palo Alto sobre su integración con el firewall en el punto final, que fue cuando comenzamos a tener conversaciones sobre Cortex XDR. [Extended Detection and Response] y corteza XSOAR [Extended Security Orchestration, Automation and Response].

“En este punto, teníamos una hoja de ruta completa que básicamente articulaba todo lo que faltaba en la organización, y lo solucionamos al obtener el producto XDR y el producto XSOAR, y agregarlos al producto CSPM, eso esencialmente haría muchas de las iniciativas más grandes con las que estábamos tratando de lidiar”, dice Bowden.

RoS ahora ha estado en funcionamiento durante algún tiempo y, hasta ahora, salvo un par de problemas que fueron más el resultado de adoptar un enfoque de implementación más gradual que cualquier otra cosa, las cosas han ido bien.

Guardando su tocino

De hecho, fue durante la pandemia de Covid-19, específicamente los primeros días del primer confinamiento nacional del país en la primavera de 2020 y la terrible segunda ola de diciembre de 2020 y enero de 2021, que la tecnología de Palo Alto acudió al rescate de RoS en varias ocasiones.

Durante el primer confinamiento, RoS tuvo problemas porque en ese momento no estaba legalmente autorizado a recibir ningún tipo de documento digital, lo que significaba que cada transacción de tierras en Escocia tenía que recibirse por correo como documento en papel y escanearse.

Este había sido el camino durante tanto tiempo gracias a la resistencia de la profesión legal, pero según Bowden, ese punto de vista cambió abruptamente con el inicio de Covid-19, y seis semanas después, RoS estaba recibiendo escrituras digitales, y nunca miró hacia atrás.

Claramente, la tecnología para recibir documentos digitales existe desde hace mucho tiempo, pero después de pasar por el proceso de configuración de Palo Alto XSOAR, Bowden y su equipo pudieron acelerar la transición a los documentos digitales aprovechándolos para proporcionar una superposición de seguridad. servicio para cubrir el proceso de envío de archivos.

“Nos permitió escribir una automatización que escanearía un archivo compartido, por lo que el servidor web externo coloca los documentos externos en un archivo compartido, XSOAR los recoge, realiza algunos análisis, los coloca en la API de Palo Alto WildFire. [application programming interface] para asegurarnos de que no lleven ningún malware, y tan pronto como tengamos una confirmación positiva de que el archivo es seguro, podemos seleccionarlo del área de preparación y moverlo a RoS para que la gente comience a trabajar en él”, dice.

Luego, durante el estricto bloqueo de Navidad de 2020 en Escocia, que incluyó una prohibición de viajar hacia y desde el resto del Reino Unido, Bowden descubrió que un certificado vencería en el cliente de red privada virtual (VPN) de RoS el 31 de diciembre. No había nadie en la oficina, por lo que nadie podía actualizar su VPN y nadie podía ingresar a la oficina para impulsar una actualización.

“Básicamente íbamos a perder toda nuestra fuerza laboral fuera de la red. Pero el producto XDR, que para entonces ya habíamos llevado a todos los puntos finales, nos proporcionó un shell remoto. Eso nos dio la posibilidad de saltar a esas estaciones de trabajo a través de un script automatizado y desplegar el paquete actualizado para reinstalar el cliente VPN sobre la marcha antes de que el usuario se conectara. Así que no tuvimos pérdida de servicio para ninguno de nuestros empleados”, dice Bowden.

“Podría haber sido catastrófico para nosotros, para ser honesto. Podría haber impactado enormemente el negocio. En cambio, no lo hizo, ni siquiera hubo un parpadeo. Ha habido algunos casos como ese, en los que hemos podido extender el uso de herramientas más allá de la seguridad para hacer frente a los desafíos”.

A todo vapor hacia AWS

Dejando a un lado los desafíos impredecibles, las mejoras que Bowden ha realizado en la postura de seguridad de RoS significan que la transición a AWS ahora avanza a buen ritmo, aunque no estará completamente completa hasta dentro de un año o más.

Su pequeño equipo de seguridad, que cuando se unió estaba formado por un aprendiz graduado, un excobre y un jubilado que había vuelto a trabajar para ayudar un poco, se ha beneficiado enormemente de las funciones automatizadas de Prisma Cloud.

“Lo que Prisma Cloud pudo brindarnos desde la perspectiva de CSPM fue no tener que capacitar a estos muchachos de inmediato en toda la seguridad dentro de AWS. Lo que pudimos hacer fue esencialmente señalarlo en el entorno de AWS, decir que queremos aplicar el cumplimiento de GDPR y PCI-DSS como inicio para 10, y presionar el botón”, dice.

“Entonces, de inmediato, pudimos obtener un cambio radical en la seguridad del entorno de AWS que estábamos desarrollando, y eso nos permitió volver atrás y concentrarnos en las cosas internas”.

En otros lugares, Palo Alto XDR está desempeñando un papel vital para ayudar al equipo de seguridad a llegar al fondo de los posibles incidentes que surgen en el punto final y en el estado del servidor, mientras que XSOAR está ayudando a reducir el volumen del trabajo diario que implica la gestión del phishing o De lo contrario, correos electrónicos problemáticos: algo que RoS recibe mucho de, por ejemplo, profesionales legales que no han configurado correctamente sus propios registros de seguridad de correo electrónico.

En última instancia, Bowden informa que él mismo pasa mucho menos tiempo clasificando e investigando alertas. “La cantidad de tiempo necesario para identificar problemas, investigarlos y determinar si son o no falsos positivos se ha reducido drásticamente, y el nivel de habilidad requerido para hacer esa clasificación se ha reducido”, dice. “Ya no me involucro en investigar cada incidente, que es lo que pasaba en los primeros días.

“Ahora tenemos dos muchachos, nuestro aprendiz graduado que se graduó recientemente y otro miembro junior del equipo que se transfirió de una de las unidades de análisis de negocios, por lo que no era técnico antes de unirse al equipo hace tres años y ahora es perfectamente capaz de lidiar con casi cualquier incidente anómalo. Obtuvimos enormes beneficios de eso”.

Exit mobile version