保护关键基础设施
使用 IBM Security QRadar EDR 跟踪一个针对水资源管理设施、高度复杂的供应链攻击
水处理厂鸟瞰图

一个外来攻击主体瞄准了欧洲的一个水资源管理设施,该设施负责向约一百万人供水。该设施最初假定这一新活动是正当的。攻击者设法破坏服务器,并部署基于勒索软件的反取证措施。

安全性挑战

  • 作为负责区域水资源分配的关键基础设施,容易受攻击危害

  • 不具备检测和搜寻无文件威胁和横向移动的能力

  • 缺乏针对勒索软件的保护

  • 用于端点安全的资源有限

关键基础设施的站点必须不断应变,以应对日益繁杂的网络风险和越来越多的来自各种威胁主体的复杂攻击。关键基础设施管理着重要的资源,容易成为攻击者的理想目标,受到攻击,造成重大影响,导致高度敏感数据外泄。

该水资源管理设施仅有传统的网络分析工具,但没有端点监控,也没有应对攻击的能力。那些工具无法跟踪跨端点的操作,例如横向移动。此外,该设施普遍缺乏 IT 资源,运营商需聘请外部提供商来管理电子邮件、DNS、VPN 和防火墙等基本服务,因此,在不同提供商之间协调工作变得更加纷乱复杂。

 

在几秒钟内清理了受感染的网段,避免了可能导致公民基本服务中断的破坏

2 天

 

在 2 天内成功结束事件,未丢失数据,未发生基本服务中断或端点损坏

 
受到攻击的设备数量,在部署勒索软件之前有十多个,之后有数千个。
 
进程

解决方案概述:

  • IBM Security® QRadar® EDR 采用 NanoOS,具备无法检测的特点,确保各端点和基础架构均拥有无可比拟的可见性

  • 在本机跟踪横向移动和异常登录尝试

  • 提供针对勒索软件攻击的本机保护

  • 提供强大的威胁搜寻界面,能跟踪和重建高度复杂的事件

该水管理设施在所有服务器、台式机和笔记本电脑上运行了 IBM Security QRadar EDR 软件,持续监控每项资产,并及时跟踪和调查潜在的安全漏洞。利用该解决方案的内置双 AI 引擎和细致的行为分析,客户实现了对该基础设施的全面可视化管理,确保可对端点进行实时查询,可广泛搜索入侵指标(IOC)和行为指标(IOB),还可进行高级数据挖掘以发现休眠型威胁。

解决方案部署六个月后,QRadar EDR 代理检测到初始异常活动,于是对攻击者访问一组特定数据集的整个过程进行了跟踪。客户现有的传统防病毒软件和入侵检测系统 (IDS) 并未检测到任何攻击活动,直到最后阶段才发现。如果客户端没有部署 QRadar EDR,攻击者则可能已经设法获取数据并导致泄露。

 

供应链攻击

在首次攻击发生的当天,QRadar EDR 就发现了一次从 VPN 服务器到非特权网段里的端点出现的可疑登录,并作为警报予以标记。安全人员认为这次登录只是外部安全提供商的维护工作,因此并未高度重视。攻击者设法部署了第一个恶意软件,主要用于映射网段,寻找通向特权网络的直接路径。 ​但攻击者发现没有这样的路径可用,于是在内存中部署了第二个恶意软件,用于收集登录凭证,从而在随后的横向移动中重复使用。获得凭证后,攻击者继续行动,访问域控制器,然后很快到达包含内部文档的文件服务器。

 

根本原因分析

最初的异常登录发生在轮班时间之外,来自通常与服务器(而不是工作站)互动的端点。该 VPN 通道由外部提供商管理,此外该提供商还负责维护邮件服务器和防火墙。由于此访问的性质有异,警报对此保持激活状态,以跟踪每个操作,但此时内部安全团队以为是提供商在对基础架构进行维护,因此没有高度重视。

第二天,QRadar EDR 发出了第二个警报,显示出现轻量级恶意软件扫描内部网络的活动,随后很快又发出另一个警报,表明内存中存在具有键盘记录和凭证收集功能的载体。攻击者通过一系列横向移动终于访问到了一个域控制器,此时,安全团队开始重视这些事件,启动威胁搜索会话。该团队决定利用 NanoOS 技术的隐蔽性,尽可能长时间地跟踪攻击者,以了解其操作方式及其目标。

当攻击者试图到达包含高度敏感信息的文件服务器时,安全团队决定阻止他们并启动根除计划。安全人员对各种设备采取了补救措施。攻击者发现,尽管他们能进行很高级别的访问,但却无法访问到想要的信息。他们意识到自己被发现了,于是在整个基础架构上部署了勒索软件以掩盖踪迹。

 

攻击和重建

运营商了解攻击的动机之后,还需对该攻击进行全盘了解,以对其基础架构中的薄弱环节进行加强。受到攻击的设备数量,在部署勒索软件之前(第1阶段)有十多个,之后(第2阶段)有数千个。

攻击者设法获得了对 VPN 和邮件服务器提供商的访问权限,用作进入内部网络的初始入口。攻击者复用提供商的凭证来移动到多个不同的计算机中,最终在某个特定的工作站上安置下来。这时候,他们使用一系列工具来扫描内部网络,确定横向移动的目标。在最后阶段,他们用域控制器本身把勒索软件传播到每台设备。

 

客户使用 QRadar EDR 的补救模块自动执行了清理过程,并使用该解决方案的反勒索软件保护功能,防止了数据丢失和运营中断。

 

灾难避免:应对和补救

该水管理设施保护了 VPN 访问,并进行了威胁猎捕,识别了攻击者已设法访问的每台机器。QRadar EDR 补救模块自动执行清理过程,几秒钟内就清理了该片段。该设施获得了侦察和横向移动阶段使用的所有工具,并立即在整个基础设施中传播了包括 IOC 和行为在内的政策。此策略部署后,不再发现有主机受到影响。所有用户的凭证均立即重置,勒索软件攻击无需进一步干预,因为客户端为所有设备启用了 QRadar EDR 反勒索软件保护,防止了重要信息丢失和正常活动中断。

该设施次日成功结束了此事件,没有任何数据丢失,也没有导致基本服务中断或端点损坏。

如果该设施没有采用 QRadar EDR,攻击者一定会导致敏感信息泄露,并且可能会在很长一段时间内保持活跃状态,整个基础设施最终会因勒索软件的最后一击而瘫痪。这种毁灭性的攻击可能造成重大影响,使当地必不可少的水资源供应遭到损害,并可能完全停摆。要想识别供应链的攻击,难度很大,如果没有获得取证信息来查明攻击的根本原因,则该设施今后有可能再次遭到来自同一攻击渠道的破坏。

客户概况:

这是欧洲的一个水资源管理设施,负责处理和分配大约 100 万人的供水储备。类别上属于关键基础设施和基本服务。

下一个
查看案例研究 PDF 订阅 IBM 时事通讯 阻止恶意软件和勒索软件攻击

一家国际运输公司在卫星连接有限的船上部署自动化端点安全机制。

阅读成功案例
大型国际机场

使用 IBM Security QRadar EDR 在气隙网络中搜寻恶意软件

阅读成功案例
法律

© Copyright IBM Corporation 2023。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

2023 年 6 月在美国制作

IBM、IBM 徽标、IBM Security 和 QRadar 是 International Business Machines Corporation 在美国和/或其他国家/地区的商标或注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。IBM 商标的最新列表可在 ibm.com/trademark上找到。

本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。
IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。

以上所有引用或描述的客户实例的展示取决于部分客户使用 IBM 产品的方式以及他们可能取得的结果。实际的环境成本和性能特征会因具体客户配置和情况而有所不同。无法提供通用的预期结果,因为每个客户的结果将完全取决于客户的系统和订购的服务。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。

良好安全实践声明:任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不当使用或访问。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。