Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Início
Estudos de caso
Infraestrutura crítica
Protegendo a infraestrutura crítica
Usando o IBM Security QRadar EDR para rastrear um ataque altamente sofisticado à cadeia de suprimentos contra uma instalação de gerenciamento de água
Um agente de ameaça estrangeiro tem como alvo uma instalação de gestão da água na Europa, responsável pela distribuição de água a cerca de um milhão de pessoas. A instalação inicialmente assume que a nova atividade é legítima. Os atacantes conseguem comprometer os servidores e implantar medidas antipericiais baseadas em ransomware.
O desafio da segurança
- Posição vulnerável como uma infraestrutura crítica responsável pela distribuição regional de água
- Nenhuma capacidade de detecção e busca de ameaças sem arquivos e movimentações laterais
- Falta de proteção contra ransomware
- Recursos limitados atribuídos à segurança dos endpoints
Os locais de infraestrutura crítica devem se adaptar continuamente para lidar com a crescente complexidade do risco cibernético e a crescente exposição a agentes de ameaça sofisticados. Os tipos de recurso sob gestão tornam a infraestrutura crítica um alvo ideal para ataques de alto impacto e extração de dados altamente sensíveis.
Além das ferramentas tradicionais de análise de rede, a estação de abastecimento de água não possuía monitoramento de terminais e nenhuma capacidade de resposta em caso de ataque. Suas ferramentas não permitiam o rastreamento de operações entre terminais, tais como movimentações laterais. Além disso, a carência geral de recursos de TI fez com que a operadora contratasse fornecedores externos para gerenciar serviços essenciais como e-mail, DNS, VPNs e firewalls, o que criou mais complexidade em torno da coordenação dos esforços de vários fornecedores díspares.
segundos
Limpou o segmento de rede infectado em segundos, evitando danos que poderiam ter bloqueado o serviço essencial aos cidadãos
2 dias
Encerrou com sucesso o incidente dentro de 2 dias sem perda de dados, interrupção de serviços essenciais ou danos aos endpoints
O ataque envolveu uma dúzia de dispositivos antes da fase de implantação do ransomware e vários milhares depois disso.
Visão geral da solução:
- O IBM Security® QRadar® EDR usa o NanoOS, projetado para ser indetectável e fornecer um nível excepcional de visibilidade em endpoints e infraestrutura
- Rastreia nativamente as movimentações laterais e tentativas anômalas de login
- Fornece proteção nativa contra ataques de ransomware
- Oferece uma poderosa interface de busca de ameaças para permitir o rastreamento e a reconstrução de incidentes altamente complexos
A instalação de gerenciamento de água executou o software IBM Security QRadar EDR em todos os servidores, desktops e laptops da instalação para monitorar continuamente cada ativo e rastrear e investigar prontamente possíveis violações de segurança. Empregando os mecanismos de IA duplos integrados da solução e a análise comportamental detalhada, o cliente obteve total visibilidade sobre a infraestrutura, permitindo consultas em tempo real aos endpoints e buscas estendidas tanto de indicadores de comprometimento (IOCs) quanto de indicadores de comportamento (IOBs), juntamente com mineração avançada de dados para descobrir ameaças dormentes.
Seis meses após a implementação, o agente QRadar EDR detectou a atividade anômala inicial e rastreou os invasores em sua jornada para acessar um conjunto específico de dados. O software antivírus tradicional existente e o sistema de detecção de intrusão (IDS) do cliente não detectaram nenhuma atividade até o último estágio do ataque. Se o cliente não tivesse implantado o QRadar EDR, os invasores teriam conseguido adquirir e exfiltrar os dados.
Ataque à cadeia de suprimentos
No dia da violação inicial, o QRadar EDR sinalizou um login suspeito de um servidor VPN para um terminal no segmento de rede desfavorecido. A equipe de segurança assumiu que o login foi devido ao trabalho de manutenção realizado por um fornecedor externo de segurança e, portanto, atribuiu uma baixa prioridade ao incidente. Os invasores implementaram o malware inicial, utilizado principalmente para mapear o segmento de rede em busca de caminhos diretos para a rede privilegiada. Depois de não encontrar esses caminhos disponíveis, os invasores implantaram um segundo malware na memória para coletar credenciais a serem reutilizadas em movimentos laterais subsequentes. Com as credenciais obtidas, os invasores avançaram para o controlador de domínio e logo depois para um servidor de arquivos contendo documentos internos.
Análise da causa raiz
O login anômalo inicial aconteceu fora do expediente, a partir de um terminal que normalmente interage com os servidores, mas não com as estações de trabalho. O canal da VPN era gerenciado por um fornecedor externo que também era responsável pela manutenção do servidor de e-mail e dos firewalls, além da própria VPN. Devido à natureza do acesso, o alerta foi mantido ativo para rastrear cada operação, mas, naquele momento, a equipe de segurança interna atribuiu uma baixa prioridade ao evento, presumindo que o fornecedor estivesse fazendo manutenção na infraestrutura.
No dia seguinte, o QRadar EDR emitiu um segundo alerta, mostrando a atividade de um malware leve usado para escanear a rede interna, logo seguido por outro alerta sinalizando a presença de um vetor in-memory com capacidade de keylogging e coleta de credenciais. Nesse ponto, a equipe de segurança concentrou-se nesses eventos, iniciando uma sessão de busca de ameaças enquanto os invasores finalmente conseguiam, por meio de uma série de movimentações laterais, acessar um dos controladores de domínio. A equipe decidiu aproveitar a invisibilidade da tecnologia NanoOS para continuar rastreando os invasores durante o máximo de tempo possível e entender sua forma de operar e seus objetivos.
Como os invasores tentaram chegar ao servidor de arquivos que continha informações confidenciais, a equipe decidiu pará-los e iniciar o plano de erradicação. Enquanto os vários dispositivos estavam sendo corrigidos, os invasores perceberam que, apesar do alto nível de acesso, eles não podiam acessar as informações que estavam procurando. Ao perceberem que tinham sido descobertos, implementaram um ransomware em toda a infraestrutura para apagar seus rastros.
Ataque e reconstrução
Depois que as motivações para a invasão ficaram claras, o operador precisou entender toda a situação para reforçar os pontos fracos da infraestrutura. O ataque envolveu uma dúzia de dispositivos antes da fase de implementação do ransomware (Fase 1) e milhares de outros depois (Fase 2).
Os invasores conseguiram obter acesso à VPN e ao provedor de servidor de e-mail e os utilizaram como ponto de entrada inicial para a rede interna. Eles reutilizaram as credenciais do fornecedor para transitarem por diferentes máquinas, finalmente se instalando em uma estação de trabalho específica. Naquele momento, eles usaram uma cadeia de ferramentas para escanear a rede interna e identificar alvos para movimentações laterais. Na etapa final, eles usaram o próprio controlador de domínio para espalhar o ransomware em cada dispositivo.
O cliente automatizou o processo de limpeza usando o módulo de remediação do QRadar EDR e usou a proteção anti-ransomware da solução para evitar perda de dados e interrupção operacional.
A instalação de gerenciamento de água garantiu o acesso VPN e conduziu uma sessão de caça a ameaças que identificou todas as máquinas que os invasores conseguiram acessar. O módulo de correção da QRadar EDR automatizou o processo de limpeza, e o segmento foi limpo em questão de segundos. A instalação obteve todas as ferramentas utilizadas durante a fase de reconhecimento e movimentação lateral e propagou imediatamente uma política incluindo IOC e comportamentos em toda a infraestrutura. Nenhum outro host comprometido foi identificado após a implementação da política. As credenciais foram imediatamente redefinidas para todos os usuários, e o ataque do ransomware não exigiu nenhuma outra intervenção porque o cliente ativou a proteção anti-ransomware do QRadar EDR para todos os dispositivos, evitando a perda de informações importantes e a interrupção das atividades normais.
A instalação encerrou com sucesso o incidente no segundo dia, sem qualquer perda de dados, interrupção de serviços essenciais ou danos aos endpoints.
Se a instalação não tivesse empregado o QRadar EDR, os invasores certamente teriam extraído informações confidenciais e pudessem ter permanecido ativos por um período prolongado, com toda a infraestrutura eventualmente desabilitada pelo ataque de ransomware final. Um ataque desse tipo teria causado um enorme impacto na capacidade da unidade de continuar prestando serviços essenciais aos cidadãos da região, possivelmente bloqueando completamente esses serviços. Dada a dificuldade na identificação de ataques na cadeia de suprimentos, a instalação poderia ter sido violada novamente por meio do mesmo canal se não houvesse informações periciais disponíveis para identificar a causa-raiz.
Legal
© Copyright IBM Corporation 2023. IBM corporation, IBM security, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América, junho de 2023
IBM, o logotipo IBM, IBM Security e QRadar são marcas comerciais ou marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Uma lista atual de marcas registradas da IBM está disponível em ibm.com/trademark.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento.
Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Todos os exemplos de clientes citados ou descritos são apresentados como ilustração da maneira como alguns clientes usam produtos IBM e dos resultados que eles alcançam. Os custos e características de desempenho ambientais reais irão variar, dependendo das configurações e condições específicas dos clientes. Geralmente os resultados esperados não podem ser fornecidos, pois os resultados de cada cliente dependerão inteiramente dos sistemas e serviços adquiridos. AS INFORMAÇÕES NESTE DOCUMENTO SÃO APRESENTADAS "COMO ESTÃO", SEM QUALQUER GARANTIA EXPRESSA OU IMPLÍCITA, INCLUSIVE SEM QUALQUER GARANTIA DE COMERCIABILIDADE, ADEQUAÇÃO A UM DETERMINADO FIM NEM QUALQUER GARANTIA DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.
Declaração de boas práticas de segurança: nenhum sistema ou produto de TI deve ser considerado completamente seguro, e nenhuma medida de produto, serviço ou segurança pode ser completamente eficaz na prevenção de uso ou acesso inadequado. A IBM não garante que nenhum de seus sistemas, produtos ou serviços esteja imune nem que tornará sua empresa imune a condutas maliciosas ou ilegais por parte de terceiros.