La mayoría de los proyectos de microsegmentación fallan antes de que incluso despeguen, complejo, demasiado lento, demasiado perjudicial. Pero Andelyn Biosciences demostró que no tiene que ser así.
Microsegmation: la pieza faltante en cero fideicomiso de seguridad
Los equipos de seguridad de hoy están bajo presión constante para defenderse de amenazas cibernéticas cada vez más sofisticadas. Las defensas basadas en perímetro por sí solas ya no pueden proporcionar protección suficiente ya que los atacantes cambian su enfoque al movimiento lateral dentro de las redes empresariales. Con más del 70% de las violaciones exitosas que involucran a los atacantes que se mueven lateralmente, las organizaciones están repensando cómo aseguran el tráfico interno.
La microsegmentación ha surgido como una estrategia clave para lograr la seguridad de la confianza cero al restringir el acceso a activos críticos basados en la identidad en lugar de la ubicación de la red. Sin embargo, los enfoques tradicionales de microsegmentación, a menudo que involucran reconfiguraciones de VLAN, despliegues de agentes o reglas complejas de firewall, se dan cuenta de ser lentos, operacionalmente disruptivos y difíciles de escalar.
Para Andelyn Biosciences, una organización de desarrollo y fabricación de contratos (CDMO) especializado en terapias genéticas, asegurar sus entornos de investigación y fabricación farmacéutica fue una prioridad. Pero con miles de dispositivos IoT y OT que operan en redes interconectadas, un enfoque de segmentación convencional habría introducido una complejidad y tiempo de inactividad inaceptable.
Inicialmente, Andelyn seleccionó una solución de control de acceso a red (NAC) para abordar estos desafíos. Sin embargo, después de casi dos años en una implementación con altos gastos generales y una incapacidad para escalar efectivamente la segmentación, el equipo de seguridad se frustró con la falta de progreso. La complejidad de la aplicación de agentes y la gestión de políticas manuales dificultó adaptar la solución al entorno en rápida evolución de Andelyn.
En última instancia, decidieron pivotar la solución de microsegmentación basada en la identidad de Elisity, lo que les permite aplicar rápidamente las políticas de acceso de menor privilegio sin requerir cambios de hardware o rediseño de la red.
Mira la repetición del estudio de caso virtual
Escuche a Bryan Holmes, vicepresidente de tecnología de la información en Andelyn Biosciences, y Pete Doolittle, director de clientes, elisidad para descubrir cómo un enfoque moderno para la microsegmentación acelera la adopción de cero confianza de años a semanas.
Bryan comparte su viaje desde la implementación inicial hasta la gestión de 2.700 políticas de seguridad activa, todo sin interrumpir las operaciones o requerir nuevas configuraciones de hardware o red.
Mira ahora para aprender:
- Estrategias prácticas para implementar la microsegmentación en entornos de TI y OT sin interrumpir las operaciones críticas de fabricación farmacéutica e investigación.
- Cómo acelerar las iniciativas de fideicomiso cero aprovechando las políticas de seguridad basadas en la identidad que protegen la propiedad intelectual, garantizan el cumplimiento regulatorio y aseguran datos de ensayos clínicos.
- Cómo obtener información del mundo real sobre la escala de la prueba de concepto inicial hasta la implementación de toda la empresa utilizando el descubrimiento automatizado, el Elisity IdentityGraph ™ y la aplicación dinámica de políticas.
Mira el estudio de caso completo aquí
El desafío: asegurar un entorno complejo de alto riesgo
La industria farmacéutica enfrenta desafíos de seguridad únicos. Las instalaciones de investigación y fabricación albergan propiedad intelectual crítica y deben cumplir con requisitos regulatorios estrictos, incluidos NIST 800-207 e IEC 62443. En Andelyn, los líderes de seguridad estaban cada vez más preocupados por los riesgos que planteaba una arquitectura de red plana, donde los usuarios, los dispositivos y las cargas de trabajo compartían la misma infraestructura.
A pesar de las defensas perimetrales tradicionales, esta estructura dejó a Andelyn vulnerable al acceso no autorizado y al movimiento lateral. El equipo de seguridad enfrentó varios desafíos clave:
- Falta de visibilidad completa en todos los dispositivos conectados, incluidos los activos de IoT y OT no administrados.
- La necesidad de segmentación sin interrumpir las operaciones en entornos de investigación altamente sensibles.
- Presiones de cumplimiento que requieren controles de acceso de grano fino sin aumentar la sobrecarga administrativa.
Bryan Holmes, vicepresidente de TI en Andelyn Biosciences, sabía que los modelos de segmentación tradicionales no funcionarían. La implementación de soluciones de control de acceso a la red (NAC) o VLAN de investigación habrían requerido un tiempo de inactividad significativo, afectando la investigación crítica y los plazos de producción.
«Necesitábamos una solución de microsegmentación que pudiera proporcionar visibilidad inmediata, hacer cumplir las políticas de seguridad granular y hacerlo sin requerir una revisión masiva de la red», explicó Holmes.
El enfoque de elisidad: segmentación basada en identidad sin complejidad
A diferencia de las soluciones de segmentación heredada, el enfoque de Elisity no depende de VLAN, reglas de firewall o aplicación basada en agentes. En cambio, aplica dinámicamente las políticas de seguridad basadas en la identidad, utilizando la infraestructura de conmutación de red existente para hacer cumplir el acceso de menos privilegios.
En el núcleo de la plataforma de Elisity se encuentra el Elisity IdentityGraph ™, que correlaciona los metadatos de Active Directory, Solutiones de detección y respuesta de punto final (EDR) como CrowdStrike y Sistemas CMDB para crear un mapa en tiempo real de usuarios, cargas de trabajo y dispositivos. Esta visibilidad permite a las organizaciones hacer cumplir las políticas basadas en la identidad, el comportamiento y el riesgo, en lugar de construcciones de redes estáticas.
Para Andelyn, esto significaba que podían lograr la visibilidad completa de la red e implementar la segmentación en semanas en lugar de meses o años, sin interrupciones operativas.
Despliegue: desde la visibilidad hasta la aplicación de políticas en semanas
El viaje de segmentación de Andelyn comenzó con el descubrimiento integral de la red. La plataforma de Elisity identificó pasivamente a todos los usuarios, cargas de trabajo y dispositivos en entornos de TI y OT, incluidos los activos previamente no administrados. En cuestión de días, los equipos de seguridad tuvieron un inventario completo, enriquecido con metadatos para determinar en qué activos eran confiables, desconocidos o potencialmente rebeldes.
A continuación, Andelyn se trasladó al modelado y simulación de políticas, utilizando el motor de creación de políticas de «no falsos» de Elisity. En lugar de hacer cumplir las políticas de inmediato, los equipos de seguridad simularon reglas de segmentación para garantizar que no interrumpan los flujos de trabajo críticos.
Una vez validado, las políticas se activaron gradualmente, primero en entornos de menor riesgo y luego en los sistemas de producción. Debido a que la plataforma de Elisidad no requiere reconfigurar la infraestructura de red, la aplicación fue perfecta.
«Pudimos pasar del modo de monitoreo a la activación de política completa en una fracción del tiempo que esperábamos», señaló Holmes. «Y lo hicimos sin interrumpir la investigación o las operaciones de fabricación».
Los resultados: seguridad más fuerte sin complejidad adicional
Con 2.700 políticas de seguridad activas ahora en su lugar, Andelyn ha mejorado significativamente su vencimiento de la confianza cero al tiempo que garantiza el cumplimiento de las regulaciones de la industria.
Al aplicar la microsegmentación basada en la identidad, la compañía tiene:
- Evitó el movimiento lateral no autorizado, reduciendo el radio potencial de explosión de una violación.
- Datos de investigación farmacéutica protegidos y propiedad intelectual de amenazas internas y ataques externos.
- La sobrecarga operativa reducida, ya que las políticas de segmentación se aplican dinámicamente sin la necesidad de actualizaciones manuales constantes.
- Informes de cumplimiento simplificados, alineándose con NIST 800-207 e IEC 62443.
A diferencia de los enfoques tradicionales que se basan en listas de acceso estático o requieren hardware de segmentación dedicado, la plataforma de Elisity se adapta continuamente a medida que los usuarios, las cargas de trabajo y los dispositivos se mueven a través de la red. Las políticas son administradas en la nube y se actualizan dinámicamente en función de las ideas en tiempo real de Elisity IdentityGraph ™, lo que garantiza que la seguridad siga siendo efectiva incluso a medida que evolucionan las amenazas.
El futuro: escala de microsegmentación en toda la empresa
Tras el éxito de su implementación inicial, Andelyn ahora está expandiendo las políticas de microsegmentación a sitios y casos de uso adicionales. La capacidad de impulsar el acceso menos privilegiado dinámicamente, sin requerir cambios importantes en la red, ha hecho que la elisidad sea una parte esencial de la estrategia de seguridad de la empresa.
Para otras organizaciones que enfrentan desafíos similares, Holmes ofrece una recomendación clara:
«Comience con la visibilidad. No puedes proteger lo que no ves. A partir de ahí, concéntrese en modelar políticas antes de la aplicación. La capacidad de simular las políticas primero fue un cambio de juego para nosotros».
La microsegmentación a menudo se considera una iniciativa compleja de varios años que requiere una inversión significativa e interrupción operativa. El caso de Andelyn Biosciences demuestra lo contrario: con el enfoque correcto, las organizaciones pueden lograr cero segmentación de confianza en semanas, no en años.
Si su proyecto de segmentación se ha estancado, o peor, nunca comenzó, hay una mejor manera. Vea cómo la microsegmentación basada en la identidad puede acelerar la confianza cero en su organización. (Solicite una demostración aquí)
