La solution
- Installation d'IBM® Security QRadar EDR sur les terminaux de tous les navires.
- Le faible débit des données permet aux équipes à terre de surveiller les navires en temps réel et de réagir lorsqu’une connexion est possible.
- La riposte et l’élimination automatisées permettent de supprimer les menaces lorsqu’une connexion internet est impossible.
Après une série d’attaques par ransomware ayant causé de graves problèmes sur les navires, la société d’expédition a demandé à IBM® de sécuriser son infrastructure. Un premier contrôle de la sécurité a montré qu’un grand nombre de navires étaient déjà infectés par divers logiciels malveillants, notamment des chevaux de Troie, parfois en accès à distance, et des reverse shells.Toutes les infections identifiées ont été analysées et supprimées, puis le logiciel IBM® Security QRadar EDR a été reconfiguré pour s’aligner sur les spécifications de la compagnie : le risque pour la poursuite des activités devait être minimisé tout en garantissant qu’il n’y ait pas de perte de données lorsque la connexion internet serait impossible. Le transfert de données devait également être réduit pour éviter de saturer la connexion par satellite, essentielle aux opérations quotidiennes.
Contrôle de la sécurité
Après le déploiement initial, QRadar EDR a immédiatement signalé une série de comportements anormaux et les a rapidement traités puis éliminés. La majorité des logiciels malveillants avaient été embarqués par des membres d’équipage, tandis que d’autres provenaient de contenus téléchargés à partir de terminaux connectés à internet. Une campagne de traque des menaces a été lancée et a révélé quelques cas de logiciels malveillants « dormants » attendant qu’un opérateur se connecte pour prendre le contrôle à distance. Ils ont eux aussi été éliminés et une période d’observation de sept jours a suivi. Après avoir confirmé l’absence d’autres anomalies, IBM® a reconfiguré la plateforme pour qu’elle fonctionne selon les paramètres de la compagnie, à savoir une utilisation optimale des données et un risque limité d’interruption des activités.
Gestion quotidienne
Pour centraliser la gestion des bateaux, IBM® et la compagnie maritime ont installé un tableau de bord de sécurité dans la base principale de l’entreprise. Sur les navires, où les réseaux de bord sont unifiés et où un seul terminal est connecté à internet, IBM® a créé un canal sécurisé pour permettre à tous les terminaux, y compris ceux de l’équipage, de transmettre les données QRadar EDR (et uniquement celles-là) à la base principale, où une équipe d’analystes surveille et réagit aux incidents éventuels.
Lorsqu’il est prévu qu’un navire se retrouve hors ligne, la compagnie maritime active la fonction de protection contre les ransomwares de QRadar EDR, les ransomwares étant les seuls vecteurs malveillants susceptibles de mettre en danger les données. Une infection par un cheval de Troie, à distance ou non, n’aurait eu aucun effet immédiat, en raison de l’absence de connexion. Tous les autres phénomènes sont surveillés et les données de suivi sont archivées localement, afin d’être transmises dès que l’accès au réseau est à nouveau disponible.