Una compagnia di navigazione internazionale gestisce una grande flotta di navi che sono spesso offline o con una connettività di rete limitata. L'azienda, i cui equipaggi hanno accesso ai computer delle navi, cercava un modo per occuparsi rapidamente del malware e di altri rischi per la sicurezza, anche nel caso in cui le navi si fossero trovate in alto mare senza connettività, per prevenire la perdita di dati interni.

La sfida:

  • la soluzione legacy non è riuscita in più occasioni a rilevare malware e ransomware.
  • Le firme per la soluzione legacy non sono quasi mai aggiornate a causa di restrizioni della larghezza di banda e della connettività.
  • Un monitoraggio 24x7 non è possibile a causa della mancata disponibilità di una connessione internet.
  • Assenza di personale di sicurezza informatica a bordo ed equipaggio privo di una specifica formazione.
  • Dispositivi non autorizzati spesso collegati ai computer delle navi.

Le navi rappresentano un ambiente unico, in quanto possono stare in alto mare per mesi interi e lontani dalla base principale per lunghi periodi di tempo. La connessione internet è disponibile in modo intermittente e, spesso, la larghezza di banda è limitata e costosa. Gli equipaggi spesso non hanno alcuna formazione nella sicurezza informatica e potrebbero finire per portare a bordo dispositivi rischiosi e non sicuri contenenti malware e ransomware. A causa di processi interni consolidati, non è possibile bloccare i dispositivi esterni senza creare altri problemi. Tali dispositivi sono essenziali anche per le normali operazioni e potrebbero essere sostituiti con scarso preavviso in svariate eventualità. Il tempo di risposta è critico ma l'accesso in tempo reale è raramente disponibile perché le navi navigano spesso in condizioni non favorevoli o in aree isolate.

Nel corso di tre mesi, IBM Security ReaQta ha impedito

24
attacchi ransomware

Evitato la perdita di dati tracciando e correggendo

dozzine
di altri attacchi

Rilevamento e correzione

La soluzione:

  • IBM® Security ReaQta ha fornito una soluzione da installare su ogni endpoint della nave.
  • Il basso utilizzo di dati ha consentito agli equipaggi di terra di monitorare le navi in tempo reale e rispondere quando le connessioni erano disponibili.
  • La risposta e la correzione automatizzate sono state attivate per rimuovere le minacce mentre la connessione internet non era disponibile.

Dopo una serie di attacchi ransomware che hanno creato gravi problemi a bordo, la compagnia di navigazione internazionale ha chiesto a IBM di proteggere la sua infrastruttura. Un controllo di protezione attiva iniziale ha evidenziato un ampio numero di navi già infettate con diversi malware, tra cui RAT, Trojan e shell inverse. Tutte le infezioni identificate sono state valutate e eliminate e la soluzione ReaQta è stata poi riconfigurata per allinearsi alle specifiche della compagnia: il rischio di interruzione della business continuity doveva essere ridotto al minimo garantendo al contempo che non fosse possibile distruggere dei dati quando non era disponibile una connettività internet. Il trasferimento dei dati doveva essere tenuto al minimo per evitare di saturare la connessione satellitare essenziale per le operazioni quotidiane. La figura (di seguito) mostra l'impostazione dell'implementazione.

Nave portacontainer a piena velocità con una bella scia ondosa

Controllo di protezione attiva

Dopo l'implementazione iniziale, ReaQta ha subito segnalato una varietà di comportamenti anomali, occupandosene e correggendoli rapidamente. La maggior parte dei malware era stata portata a bordo dall'equipaggio mentre le restanti istanze avevano la loro origine in contenuti scaricati da endpoint connessi a internet. È stata avviata una campagna di ricerca delle minacce, che ha portato alla luce la presenza di alcune istanze malware "dormienti" che attendevano che un operatore remoto si connettesse e assumesse il controllo. Anche tali istanze sono state corrette, dopodiché c'è stato un periodo di osservazione di sette giorni. Dopo aver confermato l'assenza di ulteriori anomalie, IBM ha riconfigurato la piattaforma affinché operasse entro i parametri di utilizzo ottimale dei dati e basso rischio di interruzione della business continuity della compagnia.

Operazioni quotidiane

Il dashboard di gestione è stato installato all'interno dell'infrastruttura di base principale, in modo da centralizzare la gestione delle navi. La rete a bordo era ora unificata, ma solo un singolo endpoint aveva accesso a internet; gli altri, compresi i dispositivi degli equipaggi, non avevano una connessione internet. Questo ambiente particolare ha richiesto che IBM creasse un canale sicuro per consentire a ogni endpoint di fornire dati ReaQta (e nient'altro) alla base principale. Un team di analisti era responsabile del monitoraggio e della risposta a possibili incidenti.

Quando era previsto che una nave andasse offline, veniva abilitata la protezione da ransomware, poiché era l'unico vettore doloso che potesse mettere in pericolo i dati. Un'infezione mediante un RAT o un Trojan non avrebbe avuto un impatto immediato a causa dell'assenza di connettività. Tutti gli altri comportamenti sono stati monitorati e i loro dati di tracciamento archiviati localmente, per essere forniti immediatamente dopo che un collegamento a internet fosse stato nuovamente disponibile.

Prevenzione della perdita di dati

Nel corso dei successivi tre mesi, ReaQta ha impedito un totale di 24 attacchi ransomware, rintracciato e corretto qualche dozzina di minacce di diverso tipo - per lo più RAT - e impedito la perdita di dati. In sua assenza, le operazioni delle navi sarebbero state compromesse e dei dati critici sarebbero stati resi non disponibili in condizioni non ideali per l'equipaggio. Le ripercussioni del ransomware, e il loro impatto su una sola nave, erano ben note alla compagnia. In questo scenario, ReaQta è riuscito a prevenire ritardi, scongiurare perdite di dati ed evitare costose operazioni di risposta di emergenza.

Informazioni sulla compagnia di navigazione internazionale

La grande compagnia di navigazione internazionale gestisce più di 200 navi che trasportano merci in tutto il mondo.

Componente della soluzione
IBM® Security ReaQta

© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Prodotto negli Stati Uniti d'America, ottobre 2022.

IBM, il logo IBM, ibm.com e IBM Security sono marchi di International Business Machines Corp., registrati in molte giurisdizioni in tutto il mondo. Altri nomi di servizi o prodotti possono essere marchi di IBM o di altre società. Un elenco aggiornato di marchi IBM è disponibile sul web nella sezione “Copyright and trademark information” all'indirizzo https://www.ibm.com/legal/copytrade.

Questo documento è aggiornato alla data iniziale della pubblicazione e può essere modificato da IBM senza necessità di preavviso. Non tutte le offerte sono disponibili in ogni paese in cui opera IBM.

I dati relativi alle prestazioni e gli esempi relativi ai clienti, citati nel presente documento, vengono presentati a scopo meramente esplicativo. Le prestazioni reali possono variare a seconda delle specifiche configurazioni e condizioni operative. LE INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO SONO FORNITE NELLO STATO IN CUI SI TROVANO, SENZA ALCUNA GARANZIA, ESPRESSA O IMPLICITA, INCLUSE, A TITOLO DI ESEMPIO, GARANZIE IMPLICITE DI COMMERCIABILITÀ E DI IDONEITÀ PER UNO SCOPO SPECIFICO E DI NON VIOLAZIONE. I prodotti IBM sono garantiti secondo i termini e le condizioni dei contratti che ne regolano la fornitura.

Dichiarazione delle buone procedure di sicurezza: La sicurezza del sistema IT implica la protezione dei sistemi e delle informazioni attraverso la prevenzione, il rilevamento e la risposta ad eventuali accessi impropri all'interno e all'esterno dell'azienda. L'accesso improprio può causare l'alterazione, la distruzione, l'appropriazione indebita o l'uso improprio delle informazioni; può inoltre provocare danni e uso improprio dei sistemi, che possono essere utilizzati per attaccare altri sistemi. Nessun prodotto o sistema IT può essere considerato completamente sicuro e nessun prodotto, servizio o misura di sicurezza è del tutto efficace nel prevenire l'uso o l'accesso improprio. Sistemi, prodotti e servizi IBM sono progettati come elementi di un approccio di sicurezza completo, nel rispetto delle normative, che richiederà necessariamente procedure operative aggiuntive e il probabile impiego di altri sistemi, prodotti o servizi per raggiungere la massima efficienza. IBM NON GARANTISCE IN ALCUN MODO CHE SISTEMI, PRODOTTI O SERVIZI SIANO IMMUNI O RENDANO IMMUNI LE AZIENDE DA ATTIVITÀ ILLEGALI O DANNOSE DI TERZE PARTI.