防止恶意软件和勒索软件攻击
一家国际航运公司在网络连接受限的船舶上部署自动化终端安全功能。
一家国际航运公司在网络连接受限的船舶上部署自动化终端安全功能。
一家国际航运公司管理着一支大型船队,这些船舶经常处于离线状态或者网络连接受到限制。 该公司的船员通过访问船上的计算机,寻求一种快速解决恶意软件和其他安全风险的方法,即使船舶在海上断开连接也不例外,以便防止内部数据丢失。
挑战:
船舶代表着一个独特的环境,因为它们一次会在海上航行数月,并在很长一段时间内远离主要基地。 网络连接时断时续,带宽往往受到限制且价格不菲。 船员通常都没有接受过网络安全培训,这可能会导致他们携带含有恶意软件和勒索软件的不安全设备。 由于既定的内部流程,不太可能在未发生其他问题的情况下阻止使用外部设备。 这些设备对于正常操作也是必不可少的,在各种紧急情况下,它们可能会随时更换。 响应时间很关键,但很少能够实时访问,因为船只通常会在不利的条件下或偏远的区域航行。
24
次勒索软件攻击
数十种
其他攻击,避免了数据丢失
解决方案:
在一系列勒索软件攻击导致船上出现严重问题后,这家国际航运公司让 IBM 来保护其基础设施。 最初的安全卫生检查显示,大量船舶都已经感染了各种恶意软件,包括 RAT、木马和反向 shell。 在对所有确定的感染进行了评估并予以消除后,根据公司的以下规范重新配置了 ReaQta 解决方案: 必须将业务连续性中断风险降至最低,同时确保在断开网络连接的情况下无法销毁任何数据。 数据传输必须保持在最低限度,避免对日常运营至关重要的卫星连接饱和。 下图显示了部署设置。
部署设置
安全卫生检查
在初始部署之后,ReaQta 立即标记了各种异常行为,并迅速予以解决和补救。 大多数恶意软件都是由船员带来的,其余则来源于从联网端点下载的内容。 通过发起一场威胁搜寻活动,少数“休眠”恶意软件实例也浮出水面,这些实例正在等待远程操作员连接并实施控制。 这些问题也得到了补救,随后便是七天的观察期。 在确认没有进一步异常后,IBM 重新配置了平台,使其在公司的最佳数据使用率和低业务连续性中断风险的参数范围内运行。
日常运营
管理仪表板安装在主要基地的基础设施内,以便集中管理船舶。 虽然船上的网络是统一的,但只有一个终端可以上网,其他终端(包括船员持有的设备)都没有网络连接。 这种特殊的环境要求 IBM 创建一个安全通道,允许每个终端将 ReaQta 数据(而不是其他数据)传递到主要基地。 一个分析师团队负责监控和应对可能发生的事件。
当某艘船按计划离线时,就会启用勒索软件保护,因为这是唯一可能危及数据安全的恶意载体。 由于缺乏连接,通过 RAT 或木马程序感染的病毒不会立即产生影响。 所有其他行为都在监控之下,其跟踪数据也会在本地存档,当网络链接再次可用后便会立即发送出去。
在接下来的三个月里,ReaQta 共阻止了 24 次勒索软件攻击,跟踪并修复了几十种不同的威胁(主要是 RAT),并避免了数据丢失。 如果没有它,船舶的航行就会受到影响,船员在不太理想的条件下也就无法获得关键数据。 勒索软件造成的后果及其对单艘船只带来的影响,对该公司而言并不陌生。 在此场景下,ReaQta 设法阻止了延迟,避免了数据丢失,并防止出现代价高昂的应急响应操作。
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
美国出品,2022 年 10 月。
IBM、IBM 徽标、ibm.com 和 IBM Security 是 International Business Machines Corp. 在全球许多管辖区域注册的商标。 其他产品和服务可能是 IBM 或其他公司的商标。以下 Web 站点上的“Copyright and trademark information”部分中包含了 IBM 商标的最新列表:https://www.ibm.com/legal/copytrade。
本文档为自最初公布日期起的最新版本,IBM 可随时对其进行修改。IBM 并不一定在开展业务的所有国家或地区提供所有这些产品或服务。
引用的性能数据和客户示例仅用于演示目的。实际性能结果可能因具体配置和运行条件而异。本文档中的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,不包含任何有关适销、适用于某种特定用途的保证以及有关非侵权的任何保证或条件。IBM 产品是根据产品提供时所依据的协议条款和条件提供保证的。
良好安全实践声明:IT 系统安全性涉及通过防御、检测和响应来自企业内部和外部的不正当访问来保护系统和信息。不正当的访问可能导致信息被篡改、破坏或盗用,或者导致您的系统遭到误用而攻击别人。任何 IT 系统或产品都不应被认为是完全安全的,而且没有任何单一产品、服务或安全措施在防止不正当的使用或访问方面是完全有效的。IBM 系统、产品和服务旨在成为合法、全面的安全方法的一部分,它必定涉及额外的操作程序,并且可能需要其他系统、产品或服务配合才能获得最好的效果。IBM 不保证任何系统、产品或服务免受任何一方的恶意或非法行为侵扰,或帮助您的企业免受任意一方恶意或非法行为的攻击。