Melindungi infrastruktur penting 

Menggunakan IBM Security QRadar EDR untuk melacak serangan rantai pasokan yang sangat canggih terhadap fasilitas pengelolaan air 
Pemandangan dari atas tangki pengolahan air

Seorang aktor ancaman asing menargetkan fasilitas pengelolaan air di Eropa yang bertanggung jawab untuk mendistribusikan air kepada sekitar satu juta orang. Fasilitas ini pada awalnya mengasumsikan bahwa aktivitas baru tersebut sah. Para penyerang berhasil membobol server dan menerapkan tindakan anti-forensik berbasis ransomware. 

Tantangan keamanan

  • Posisi rentan sebagai infrastruktur penting yang bertanggung jawab atas distribusi air daerah

  • Tidak ada kemampuan deteksi dan perburuan untuk ancaman tanpa file dan gerakan lateral

  • Kurangnya perlindungan ransomware

  • Sumber daya terbatas yang ditugaskan untuk keamanan titik akhir

Situs infrastruktur penting harus terus beradaptasi untuk menangani kompleksitas risiko siber yang semakin meningkat dan meningkatnya paparan terhadap pelaku ancaman yang canggih. Jenis sumber daya yang dikelola menjadikan infrastruktur penting sebagai target ideal untuk serangan berdampak tinggi dan eksfiltrasi data yang sangat sensitif.

Selain alat analisis jaringan tradisional, fasilitas pengelolaan air tidak memiliki pemantauan titik akhir dan tidak ada kemampuan respons jika terjadi serangan. Alat-alatnya tidak memungkinkan untuk melacak operasi cross-endpoint, seperti gerakan lateral. Lebih lanjut, kurangnya sumber daya IT secara umum berarti bahwa operator menyewa penyedia eksternal untuk mengelola layanan penting seperti email, DNS, VPN, dan firewall, yang menciptakan lebih banyak kompleksitas seputar mengoordinasikan upaya beberapa penyedia yang berbeda. 
Teknisi servis industri melakukan pemeriksaan keamanan panel kontrol

detik

 

Membersihkan segmen jaringan yang terinfeksi dalam hitungan detik, menghindari kerusakan yang dapat memblokir layanan penting bagi warga

2 hari

 

Berhasil menutup insiden dalam 2 hari tanpa kehilangan data, gangguan layanan penting atau kerusakan pada endpoint
 
Serangan ini melibatkan belasan perangkat sebelum tahap penyebaran ransomware dan beberapa ribu perangkat setelahnya.
 
Prosesnya

Ringkasan solusi:

  • IBMSecurity® QRadar® EDR menggunakan NanoOS, yang dirancang agar tidak terdeteksi dan memberikan tingkat visibilitas yang luar biasa di seluruh titik akhir dan infrastruktur

  • Melacak gerakan lateral dan upaya masuk yang tidak wajar secara bawaan

  • Memberikan perlindungan asli terhadap serangan ransomware

  • Menawarkan antarmuka perburuan ancaman yang kuat untuk memungkinkan pelacakan dan rekonstruksi insiden yang sangat kompleks 

Fasilitas pengelolaan air menjalankan perangkat lunak IBM Security QRadar EDR di semua server, desktop, dan laptop fasilitas untuk terus memantau setiap aset dan segera melacak dan menyelidiki potensi pelanggaran keamanan. Dengan menggunakan mesin AI ganda bawaan solusi dan analisis perilaku yang terperinci, klien memperoleh visibilitas penuh atas infrastruktur, memungkinkan kueri waktu nyata ke titik akhir dan pencarian yang diperluas untuk indikator kompromi (IOC) dan indikator perilaku (IOB), bersama dengan penggalian data tingkat lanjut untuk menemukan ancaman yang tidak aktif.

Enam bulan setelah penerapan, agen EDR QRadar mendeteksi aktivitas anomali awal dan melacak para penyerang dalam perjalanan mereka untuk mengakses serangkaian data tertentu. Perangkat lunak antivirus tradisional dan sistem deteksi intrusi (IDS) klien yang sudah ada tidak mendeteksi aktivitas apa pun hingga tahap paling akhir dari serangan. Seandainya klien tidak menggunakan QRadar EDR, para penyerang akan berhasil memperoleh dan mengeksfiltrasi data.

 

Serangan rantai pasokan

Pada hari pelanggaran awal, QRadar EDR menandai login yang mencurigakan dari server VPN ke titik akhir di segmen jaringan yang tidak diistimewakan. Tim keamanan berasumsi bahwa login tersebut disebabkan oleh pekerjaan pemeliharaan oleh penyedia keamanan eksternal dan dengan demikian memberikan prioritas rendah pada insiden tersebut. Para penyerang menyebarkan malware awal, terutama digunakan untuk memetakan segmen jaringan yang mencari jalur langsung ke jaringan istimewa. Setelah tidak menemukan jalur seperti itu, para penyerang menyebarkan malware dalam memori kedua untuk mengumpulkan kredensial untuk digunakan kembali dalam gerakan lateral berikutnya. Dengan kredensial yang diperoleh, para penyerang beralih ke pengendali domain dan segera setelah itu ke server file yang berisi dokumen internal.

 

Analisis akar masalah

Login anomali awal terjadi di luar jam kerja, dari titik akhir yang biasanya berinteraksi dengan server tetapi tidak dengan workstation. Saluran VPN dikelola oleh penyedia eksternal yang juga bertanggung jawab atas pemeliharaan server email dan firewall di samping VPN itu sendiri. Karena sifat akses tersebut, peringatan tetap aktif untuk melacak setiap operasi, tetapi pada saat itu, tim keamanan internal menetapkan prioritas rendah pada kejadian tersebut, dengan asumsi penyedia layanan sedang melakukan pemeliharaan infrastruktur.

Keesokan harinya, QRadar EDR memunculkan peringatan kedua, yang menunjukkan aktivitas malware ringan yang digunakan untuk memindai jaringan internal, yang segera disusul dengan peringatan lain yang menandakan adanya vektor dalam memori dengan kemampuan keylogging dan pemanenan kredensial. Pada saat itu, tim keamanan berfokus pada peristiwa ini, memulai sesi perburuan ancaman sementara para penyerang akhirnya berhasil, melalui serangkaian gerakan lateral, mengakses salah satu pengontrol domain. Tim memutuskan untuk memanfaatkan teknologi NanoOS yang tidak terlihat untuk terus melacak para penyerang selama mungkin untuk memahami modus operandi dan tujuan mereka.

Ketika para penyerang mencoba mencapai server file yang berisi informasi yang sangat sensitif, tim memutuskan untuk menghentikan mereka dan memulai rencana pemberantasan. Ketika berbagai perangkat sedang diperbaiki, para penyerang menyadari bahwa, meskipun tingkat akses yang tinggi, mereka tidak dapat mengakses informasi yang mereka cari. Setelah mengetahui bahwa mereka ketahuan, mereka menggunakan ransomware pada seluruh infrastruktur untuk menutupi jejak mereka.

 

Serangan dan rekonstruksi

Setelah motivasi serangan itu jelas, operator perlu memahami keseluruhan serangan untuk memperkuat titik-titik lemah dalam infrastruktur. Serangan ini melibatkan belasan perangkat sebelum tahap penyebaran ransomware (Tahap 1) dan beberapa ribu setelahnya (Tahap 2).

Para penyerang berhasil mendapatkan akses ke VPN dan penyedia server email dan menggunakannya sebagai titik masuk awal ke jaringan internal. Para penyerang menggunakan kembali kredensial penyedia untuk pindah ke mesin yang berbeda, akhirnya menetap di workstation tertentu. Pada saat itu, mereka menggunakan rantai alat untuk memindai jaringan internal dan mengidentifikasi target untuk gerakan lateral. Pada tahap akhir, mereka menggunakan pengontrol domain itu sendiri untuk menyebarkan ransomware di setiap perangkat. 

 

Klien mengotomatiskan proses pembersihan menggunakan modul remediasi QRadar EDR, dan menggunakan perlindungan anti-ransomware dari solusi tersebut untuk mencegah kehilangan data dan gangguan operasional.

 
Bencana dapat dihindari: respon dan remediasi 

Fasilitas pengelolaan air mengamankan akses VPN dan melakukan sesi perburuan ancaman yang mengidentifikasi setiap mesin yang berhasil diakses oleh para penyerang. Modul remediasi QRadar EDR mengotomatiskan proses pembersihan, dan segmen dibersihkan dalam hitungan detik. Fasilitas ini memperoleh semua alat yang digunakan selama tahap pengintaian dan pergerakan lateral dan segera menyebarkan kebijakan termasuk IOC dan perilaku di seluruh infrastruktur. Tidak ada host tambahan yang teridentifikasi setelah penerapan kebijakan. Kredensial segera diatur ulang untuk semua pengguna, dan serangan ransomware tidak memerlukan intervensi lebih lanjut karena klien mengaktifkan perlindungan anti-ransomware QRadar EDR untuk semua perangkat, mencegah hilangnya informasi penting dan gangguan aktivitas normal.

Fasilitas ini berhasil menutup insiden pada hari kedua, tanpa kehilangan data, gangguan layanan penting, atau kerusakan pada endpoint.

Seandainya fasilitas ini tidak menggunakan QRadar EDR, para penyerang pasti akan menyusupkan informasi sensitif dan mungkin akan tetap aktif untuk waktu yang lama, dengan seluruh infrastruktur yang pada akhirnya dinonaktifkan oleh serangan ransomware terakhir. Serangan semacam itu akan berdampak besar pada kemampuan fasilitas untuk terus memberikan layanan penting bagi warga di wilayah tersebut, dan berpotensi memblokirnya sama sekali. Mengingat sulitnya mengidentifikasi serangan rantai pasokan, fasilitas tersebut mungkin telah dibobol lagi melalui saluran yang sama jika tidak ada informasi forensik yang tersedia untuk menentukan akar penyebab pelanggaran. 
Tentang klien

Fasilitas pengelolaan air di Eropa ini bertanggung jawab untuk menangani dan mendistribusikan air ke sekitar satu juta orang. Fasilitas ini diklasifikasikan sebagai infrastruktur penting dan layanan penting. 

 Komponen solusi IBM Security® QRadar® EDR
Selanjutnya:
Lihat PDF studi kasus Berlangganan buletin IBM
Mencegah serangan malware dan ransomware

Suatu perusahaan pelayaran internasional menerapkan keamanan endpoint otomatis pada kapal dengan konektivitas satelit terbatas.

 Baca studi kasus Bandara internasional utama 

Berburu malware di dalam jaringan yang berlubang udara menggunakan IBM Security QRadar EDR

 Baca studi kasus
Hukum

© Hak Cipta IBM Corporation 2023. IBM Corporation, IBM Cloud, New Orchard Road, Armonk, NY 10504

Diproduksi di Amerika Serikat, Juni 2023

IBM, logo IBM, IBM® Security, dan QRadar adalah merek dagang atau merek dagang terdaftar dari International Business Machines Corporation, di Amerika Serikat dan/atau negara lain. Nama produk dan layanan lain mungkin merupakan merek dagang dari IBM atau perusahaan lain. Daftar merek dagang IBM saat ini tersedia di ibm.com/trademark.

Dokumen ini adalah yang terbaru pada tanggal awal publikasi dan dapat diubah oleh IBM kapan
saja. Tidak semua penawaran tersedia di setiap negara tempat IBM beroperasi.

Semua contoh klien yang dikutip atau dijelaskan disajikan sebagai ilustrasi tentang cara beberapa klien menggunakan produk IBM dan hasil yang mungkin telah mereka capai. Biaya lingkungan dan karakteristik kinerja yang sebenarnya akan bervariasi, tergantung pada konfigurasi dan kondisi tiap-tiap klien. Hasil yang diharapkan secara umum tidak dapat diberikan karena hasil setiap klien akan bergantung sepenuhnya pada sistem dan layanan yang dipesan oleh klien. INFORMASI DALAM DOKUMEN INI DISEDIAKAN "SEBAGAIMANA ADANYA" TANPA JAMINAN APA PUN, BAIK TERSURAT MAUPUN TERSIRAT, TERMASUK TANPA JAMINAN UNTUK DAPAT DIPERJUALBELIKAN, KESESUAIAN UNTUK TUJUAN TERTENTU, DAN JAMINAN ATAU KETENTUAN APA PUN YANG TIDAK MELANGGAR. Produk IBM dijamin sesuai dengan syarat dan ketentuan perjanjian yang mengatur penyediaan produk tersebut.

Pernyataan Praktik Keamanan yang Baik: Tidak ada sistem atau produk IT yang bisa dianggap sepenuhnya aman, dan tidak ada satu pun produk, layanan, atau tindakan keamanan yang bisa sepenuhnya efektif untuk mencegah penggunaan atau akses yang tidak semestinya.  IBM tidak menjamin bahwa sistem, produk, atau layanan apa pun kebal dari, atau akan membuat perusahaan Anda kebal terhadap, tindakan jahat atau ilegal dari pihak mana pun.