Prevenção de ataques de malware e ransomware
Uma companhia de navegação internacional utiliza a segurança de endpoints automatizados em navios com conectividade de satélite limitada
Vista aérea de navio cargueiro no oceano transportando contêineres

Uma companhia de navegação internacional gerencia uma grande frota de embarcações que, muitas vezes, estão off-line ou com conectividade limitada via satélite. A empresa, cuja equipe tem acesso aos computadores dos navios, buscou uma maneira de lidar com malware e outros riscos à segurança rapidamente, mesmo quando os navios estão no mar sem conectividade, a fim de evitar a perda de dados internos.

O desafio:

  • A solução legada não detectou malware e ransomware várias vezes.

  • As assinaturas da solução legada quase nunca são atualizadas devido a restrições de largura de banda e conectividade.

  • Não foi possível monitorar 24x7 devido à indisponibilidade da conexão com a Internet.

  • Nenhuma equipe de segurança cibernética a bordo e equipe não treinada.

  • Dispositivos não autorizados frequentemente conectados aos computadores dos navios.

Os navios representam um ambiente único, pois podem estar no mar por meses seguidos. A conectividade com a Internet é intermitente e, muitas vezes, a largura de banda é limitada e cara. As equipes geralmente não têm treinamento em segurança cibernética e podem acabar trazendo dispositivos inseguros e perigosos contendo malware e ransomware. Devido aos processos internos estabelecidos, não é possível bloquear dispositivos externos sem criar outros problemas. Esses dispositivos também são essenciais para as operações normais e podem ser substituídos a qualquer momento sob uma variedade de contingências. No caso de uma infecção por malware ou ransomware, o tempo de resposta é fundamental, mas o acesso em tempo real raramente está disponível porque os navios geralmente navegam em condições desfavoráveis ou em áreas isoladas.

Maior segurança

 

Ao longo de três meses, a empresa usou o IBM Security QRadar EDR para evitar 24 ataques de ransomware

Remediação robusta

 

Evitou a perda de dados rastreando e remediando dezenas de outros ataques
Detecção e correção

A solução:

  • Instalado o IBM Security® QRadar® EDR em todos os endpoints dos navios.

  • O baixo uso de dados permite que as tripulações de solo monitorem os navios em tempo real e respondam quando as conexões estiverem disponíveis.

  • A resposta e a remediação automatizadas ajudam a remover ameaças enquanto a conexão com a Internet não está disponível.

Após uma série de ataques de ransomware que criaram problemas graves nos navios, a companhia de navegação pediu à IBM para proteger sua infraestrutura. Uma verificação inicial de higiene mostrou um grande número de navios já infectados com uma variedade de malware, incluindo RATs, cavalos de troia e conexões reversas. Todas as infecções identificadas foram avaliadas e removidas, e o software IBM Security QRadar EDR foi então reconfigurado para se alinhar às especificações da empresa: o risco à continuidade dos negócios teve que ser minimizado e, ao mesmo tempo, garantir que não houvesse nenhuma perda de dados quando não havia conectividade com a Internet. A transferência de dados também precisava ser minimizada para evitar saturar a conexão via satélite essencial às operações diárias. 

 

Verificação de higiene

Após a implementação inicial, o QRadar EDR sinalizou imediatamente uma variedade de comportamentos anômalos e rapidamente abordou e corrigiu esses comportamentos. A maioria dos malwares foi trazida a bordo pelas tripulações, enquanto outras instâncias tiveram origem em conteúdo baixado de terminais conectados à Internet. Uma campanha de caça a ameaças foi iniciada e revelou algumas instâncias de malware "dormentes" esperando que um operador remoto se conecte e assuma o controle. Estes também foram remediados, e seguiu-se um período de observação de sete dias. Depois de confirmar a ausência de outras anomalias, a IBM reconfigurou a plataforma para operar dentro dos parâmetros da empresa de uso ideal de dados e baixo risco de interrupção dos negócios.

 

Operações do dia-a-dia

Para centralizar o gerenciamento dos navios, a IBM e a companhia de navegação instalaram um painel de segurança na base principal da empresa. Nos navios, onde as redes integradas são unificadas e apenas um único endpoint tem acesso à Internet, a IBM criou um canal seguro para permitir que todos os endpoints, incluindo dispositivos da tripulação, fornecessem dados do EDR QRadar (e nada mais) à base principal, onde uma equipe de analistas monitora e responde a possíveis incidentes.

Quando os navios estão programados para ficar off-line, a companhia de navegação ativa o recurso de proteção contra ransomware do QRadar EDR, já que o ransomware é o único vetor malicioso que pode colocar os dados em risco. Uma infecção por meio de um RAT ou cavalo de troia não teria impacto imediato, devido à ausência de conectividade. Todos os outros comportamentos são monitorados, com seus dados de rastreamento arquivados localmente, para serem entregues imediatamente após um link de Internet estar novamente disponível.
Evitando a perda de dados

Nos três meses seguintes, a companhia de navegação usou o QRadar EDR para evitar 24 ataques de ransomware, rastrear e corrigir algumas dezenas de ameaças diferentes, principalmente RATs, e evitar a perda de dados. Sem essa solução, as operações dos navios teriam sido comprometidas e os dados essenciais ficariam indisponíveis em condições abaixo das ideais para a tripulação, gerando atrasos nas remessas e exigindo operações caras de resposta a emergências.
Sobre a companhia de navegação internacional

A enorme companhia de navegação internacional gerencia mais de 200 navios que transportam mercadorias ao redor do mundo.

 
Componente da solução IBM Security® QRadar® EDR
Próximo:
Visualizar PDF do estudo de caso Assine a newsletter da IBM Um grande aeroporto internacional

Buscando malware dentro de uma rede isolada usando o IBM Security QRadar EDR

Leia o estudo de caso Infraestrutura crítica

Rastreamento de um ataque à cadeia de suprimentos altamente sofisticado. O alvo: uma estação de abastecimento de água.

 Leia o estudo de caso
Legal

© Copyright IBM Corporation 2023. IBM corporation, IBM security, New orchard road, Armonk, NY 10504

Produzido nos Estados Unidos da América, julho de 2023.

IBM, o logotipo IBM, IBM Security e QRadar são marcas comerciais da International Business Machines Corporation, registradas em diversas jurisdições em todo o mundo. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Uma lista atual de marcas comerciais da IBM está disponível em ibm.com/trademark.

Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.

Todos os exemplos de clientes citados ou descritos são apresentados como ilustração da maneira como alguns clientes usam produtos IBM e dos resultados que eles alcançam. Os custos e características de desempenho ambientais reais irão variar, dependendo das configurações e condições específicas dos clientes. Geralmente os resultados esperados não podem ser fornecidos, pois os resultados de cada cliente dependerão inteiramente dos sistemas e serviços adquiridos. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO APRESENTADAS TAIS COMO ESTÃO, SEM QUALQUER GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUSIVE SEM QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.

 Declaração de boas práticas de segurança: nenhum sistema ou produto de TI deve ser considerado completamente seguro, e nenhuma medida de produto, serviço ou segurança pode ser completamente eficaz na prevenção de uso ou acesso inadequado.  A IBM não garante que nenhum de seus sistemas, produtos ou serviços estejam imunes nem que tornarão sua empresa imune a condutas maliciosas ou ilegais por parte de terceiros.