Uma empresa de navegação internacional gerencia uma grande frota de embarcações que estão frequentemente sem conexão ou com conectividade de rede limitada. A empresa, cuja tripulação tem acesso aos computadores dos navios, buscou uma maneira de lidar rapidamente com malware e outros riscos de segurança, mesmo quando os navios estão no mar sem conectividade, para evitar a perda de dados internos.

O desafio:

  • A solução existente apresentou falhas diversas vezes em detectar malware e ransomware.
  • As assinaturas da solução existente quase nunca são atualizadas, devido à largura de banda e às restrições de conectividade.
  • Não é possível realizar monitoramento 24x7 devido à indisponibilidade de conexão de internet.
  • Não há equipe de segurança cibernética a bordo e a tripulação não recebeu o devido treinamento.
  • Dispositivos não autorizados muitas vezes estão conectados aos computadores dos navios.

Os navios representam um ambiente único, uma vez que podem estar em alto-mar por vários meses e longe da base principal por longos períodos. A conexão de internet é disponível de modo intermitente e, muitas vezes, a largura de banda é limitada e cara. As equipes muitas vezes não possuem capacitação em segurança cibernética e podem levar a bordo dispositivos não protegidos e sem segurança, contendo malwares e ransomware. Devido a processos internos estabelecidos, não é possível bloquear dispositivos externos sem gerar outros problemas. Estes dispositivos também são essenciais para operações normais e podem ser substituídos de última hora devido a diversas situações inesperadas. O tempo de resposta é crítico mas o acesso em tempo real raramente está disponível, pois os navios costumam navegar em condições desfavoráveis ou em áreas isoladas.

Ao longo de três meses, a IBM Security ReaQta evitou

24
ataques de ransomware

Evitou a perda de dados por rastreamento e correção de

dezenas
de outros ataques

Detecção e remediação

A solução:

  • O IBM Security® ReaQta oferece uma solução a ser instalada em cada terminal do navio.
  • O baixo uso de dados permitiu às equipes de solo monitorar navios em tempo real e responder quando as conexões estavam disponíveis.
  • A resposta e a remediação automatizadas foram implementadas para remover ameaças enquanto a conexão de internet não estava disponível.

Depois de diversos ataques de ransomware que geraram problemas graves a bordo, a companhia de navegação internacional pediu à IBM proteger a sua infraestrutura. Uma verificação de limpeza inicial mostrou um grande número de navios já infectados com diversos malwares, incluindo RATs, cavalos de troia e reverse shells. Todas as violações identificadas foram avaliadas e removidas, e a solução ReaQta foi reconfigurada para manter-se alinhada às exigências da empresa: o risco de interrupção da continuidade de negócios foi reduzido ao mínimo, além de assegurar que nenhum dado fosse destruído quando não havia conectividade de internet. A transferência de dados foi reduzida ao máximo para evitar a saturação da conexão via satélite que é essencial para as operações diárias. A figura (abaixo) mostra a configuração da implementação.

Navio de carga carregado come contêineres em velocidade máxima no mar com belo padrão de ondas

Verificação de limpeza

Após a implementação inicial, o ReaQta sinalizou imediatamente vários comportamentos anômalos e rapidamente os resolveu e remediou. A maioria dos malwares foi levada a bordo pela tripulação, enquanto as demais instâncias tiveram sua origem em conteúdo transferido por download a partir de terminais conectados à internet. Uma campanha de caça a ameaças foi iniciada e identificou a presença de algumas instâncias de malware "adormecidas" que estavam à espera de um operador remoto para se conectar e assumir o controle. Esses também foram remediados e, em seguida, passaram por um período de observação de sete dias. Depois de confirmar a ausência de novas anomalias, a IBM reconfigurou a plataforma para operar dentro dos parâmetros da empresa de uso de dados otimizados e de baixo risco de interrupção da continuidade de negócios.

Operações diárias

O dashboard de gerenciamento foi instalado na infraestrutura de base principal, a fim de centralizar a gestão dos navios. Enquanto a rede a bordo era unificada, apenas um único terminal tinha acesso à internet, os outros, incluindo os dispositivos dos tripulantes, não tinham conexão de internet. Este ambiente peculiar exigia que a IBM criasse um canal seguro para permitir que todo terminal entregasse dados do ReaQta (e nada mais) para a base principal. Uma equipe de analistas ficou encarregada de monitorar e responder a possíveis incidentes.

Quando um navio estava programado para interromper a conexão, a proteção contra ransomware estava ativada, pois esse era o único vetor malicioso que poderia colocar os dados em risco. Uma violação por meio de um RAT ou cavalo de troia não teria impacto imediato, devido à ausência de conectividade. Os demais comportamentos foram monitorados e seus dados de rastreamento foram arquivados localmente para serem entregues imediatamente até que uma conexão de internet estivesse disponível novamente.

Prevenção contra perda de dados

Ao longo dos próximos três meses, o ReaQta impediu um total de 24 ataques de ransomware, rastreou e remediou dezenas de ameaças diferentes, em sua maioria RATs, e evitou a perda de dados. Sem essa solução, as operações dos navios estariam comprometidas e dados críticos teriam sido perdidos em condições abaixo do ideal para a tripulação. A repercussão do ransomware, e seu impacto em um único navio, eram bem conhecidos pela empresa. Neste cenário, o ReaQta evitou atrasos, a perda de dados e o aumento de custo com operações de resposta à emergências.

Sobre a empresa de navegação internacional

A grande empresa de navegação internacional administra mais de 200 navios que transportam mercadorias em todo o mundo.

Componente da solução
IBM Security® ReaQta

© Copyright IBM Corporation 2022. IBM Brasil Ltda, IBM Security, Rua Tutóia, 1157, CEP 04007-900, São Paulo-SP

Produzido nos Estados Unidos da América, outubro de 2022.

IBM, o logotipo IBM, ibm.com e IBM Security são marcas comerciais da International Business Machines Corp., registradas em muitas jurisdições no mundo todo. Outros nomes de produtos e de serviços podem ser marcas registradas da IBM ou de outras empresas. Uma lista atual de marcas comerciais da IBM está disponível na web em "Copyright and trademark information" em https://www.ibm.com/legal/copytrade.

Este documento foi atualizado a partir da data inicial da publicação e pode ser modificado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países nos quais a IBM opera.

Os dados de desempenho e exemplos do cliente citados são apresentados somente para fins ilustrativos. Os resultados de desempenho podem variar dependendo de condições de operação e configurações específicas. AS INFORMAÇÕES PRESENTES NESSE DOCUMENTO SÃO FORNECIDAS “NO ESTADO EM QUE SE ENCONTRAM”, SEM GARANTIAS DE QUALQUER TIPO, EXPRESSAS OU IMPLÍCITAS, INCLUSO SEM GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO VIOLAÇÃO.Os produtos IBM possuem garantias de acordo com os termos e condições dos contratos aos quais estão sujeitos.

Declaração de boas práticas de segurança: a segurança do sistema de TI envolve a proteção de sistemas e informações por meio da prevenção, da detecção e da resposta ao acesso inadequado de dentro e fora da empresa. O acesso inadequado pode resultar na alteração, destruição, apropriação ou uso indevido de informações, ou pode resultar em danos ou uso indevido de seus sistemas, incluindo ataques a terceiros. Nenhum sistema ou produto de TI deve ser considerado totalmente seguro e nenhum produto, serviço ou medida de segurança pode ser considerado completamente eficaz na prevenção de uso ou acesso inadequado. Os sistemas, produtos e serviços IBM são projetados para fazer parte de uma abordagem de segurança abrangente e legal, que necessariamente envolverá procedimentos operacionais adicionais e poderá exigir que outros sistemas, produtos ou serviços sejam mais eficazes. A IBM NÃO GARANTE QUE QUAISQUER SISTEMAS, PRODUTOS OU SERVIÇOS SEJAM IMUNES, OU TORNARÃO SUA EMPRESA IMUNE, A CONDUTAS MALICIOSAS OU ILEGAIS DE QUAISQUER PARTES E/OU TERCEIROS.