Prevención de ataques de malware y ransomware
Una compañía naviera internacional despliega seguridad automatizada de puntos finales en buques con conectividad por satélite limitada
Vista aérea del buque de carga en el océano transportando contenedores

Una compañía naviera internacional gestiona una gran flota de embarcaciones que a menudo están fuera de línea o con conectividad satelital limitada. La compañía, cuya tripulación tiene acceso a las computadoras de los buques, buscó una manera de abordar el malware y otros riesgos de seguridad rápidamente, incluso cuando los buques están en el mar sin conectividad, para evitar la pérdida de datos internos.

El desafío:

  • La solución heredada no pudo detectar malware y ransomware varias veces.

  • Firmas para la solución heredada casi nunca actualizadas, debido a restricciones de ancho de banda y conectividad.

  • No se puede monitorear las 24 horas del día, los 7 días de la semana debido a la falta de disponibilidad de conexión a Internet.

  • No hay personal de ciberseguridad a bordo y tripulación no entrenada.

  • Los dispositivos no autorizados suelen conectarse a las computadoras de los buques.

Los buques representan un entorno único, ya que pueden estar en el mar durante meses. La conectividad a Internet es intermitente y, a menudo, el ancho de banda es limitado y costoso. La tripulación a menudo no tienen capacitación en ciberseguridad y pueden terminar incorporando dispositivos inseguros e inseguros que contengan malware y ransomware. Debido a procesos internos establecidos, no es posible bloquear dispositivos externos sin crear otros problemas. Estos dispositivos también son esenciales para el funcionamiento normal y podrían sustituirse en un momento dado en caso de contingencias diversas. En caso de infección por malware o ransomware, el tiempo de respuesta es crítico, pero rara vez se dispone de acceso en tiempo real porque los buques suelen navegar en condiciones desfavorables o en zonas aisladas.

Seguridad mejorada

 

En el transcurso de tres meses, la compañía utilizó IBM Security QRadar EDR para evitar 24 ataques de ransomware

Corrección sólida

 

Evitó la pérdida de datos rastreando y reparando decenas de otros ataques

Detección y corrección

La solución:

  • Se instaló IBM Security® QRadar® EDR en todos los extremos del buque.

  • El bajo uso de datos permite que las tripulaciones terrestres monitoreen los buques en tiempo real y respondan cuando las conexiones están disponibles.

  • La respuesta automatizada y la reparación ayudan a eliminar las amenazas mientras la conexión a Internet no está disponible.

Después de una serie de ataques de ransomware que crearon graves problemas en los buques, la compañía naviera pidió a IBM que asegurara su infraestructura. Una revisión inicial de higiene mostró una gran cantidad de buques ya infectados con una variedad de malware, entre ellos RAT, troyanos y proyectiles inversos. Todas las infecciones identificadas se evaluaron y eliminaron, y el software IBM Security QRadar EDR se reconfiguró para alinearse con las especificaciones de la empresa: el riesgo para la continuidad del negocio debía minimizarse y garantizar que no hubiera pérdida de datos cuando no había conectividad a Internet. También hubo que minimizar la transferencia de datos para evitar saturar la conexión satelital esencial para las operaciones diarias. 

 

Control de higiene

Después de la implementación inicial, QRadar EDR marcó inmediatamente una variedad de comportamientos anómalos y los abordó y solucionó rápidamente. La mayoría del malware fue incorporado por las tripulaciones, mientras que otros casos se originaron en contenido descargado desde puntos finales conectados a Internet. Se inició una campaña de búsqueda de amenazas y reveló algunas instancias de malware "inactivas" que esperan que un operador remoto se conecte y tome el control. Éstos también fueron remediados y siguió un periodo de observación de siete días. Después de confirmar la ausencia de anomalías adicionales, IBM reconfiguró la plataforma para operar dentro de los parámetros de la empresa de uso óptimo de datos y bajo riesgo de interrupción del negocio.

 

Operaciones cotidianas

Para centralizar la gestión de buques, IBM y la compañía naviera instalaron un panel de seguridad en la base principal de la empresa. En los buques, donde las redes incorporadas están unificadas y solo un punto final tiene acceso a Internet, IBM creó un canal seguro para permitir que todos los endpoints, incluidos los dispositivos de la tripulación, brinden datos de QRadar EDR (y nada más) a la base principal, donde un equipo de analistas responde y responde.

Cuando los buques están programados para desconectarse, la compañía naviera habilita la capacidad de protección contra ransomware de QRadar EDR, ya que el ransomware es el único vector malicioso que podría poner en peligro los datos. Una infección por medio de un RAT o troyano no habría tenido un impacto inmediato, debido a la ausencia de conectividad. Todos los demás comportamientos son monitoreados, con sus datos de seguimiento archivados localmente, para ser entregados inmediatamente después de que un enlace a Internet esté disponible nuevamente.

Evite la pérdida de datos

Durante los siguientes tres meses, la compañía naviera utilizó QRadar EDR para prevenir 24 ataques de ransomware, rastrear y remediar algunas docenas de amenazas diferentes, en su mayoría RATS, y evitar la pérdida de datos. Sin esta solución, las operaciones de los buques se habrían visto comprometidas y los datos críticos no habrían estado disponibles en condiciones poco idóneas para la tripulación, lo que habría provocado retrasos en la navegación y requerido costosas operaciones de respuesta de emergencia.

Acerca de la compañía naviera internacional

Esta importante compañía naviera internacional gestiona más de 200 buques que transportan mercancías por todo el mundo.

 

A continuación:
Ver caso de estudio PDF Suscríbase al boletín de IBM Un importante aeropuerto internacional

Búsqueda de malware dentro de una red con air gap mediante IBM Security QRadar EDR

Leer el estudio de caso
Infraestructura crítica

Seguimiento de un ataque de cadena de suministro altamente sofisticado contra una instalación de gestión del agua

Leer el estudio de caso
Legal

© Copyright IBM Corporation 2023. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504

Producido en los EE. UU., julio de 2023.

IBM, el logotipo son marcas comerciales de International Business Machines Corporation, registradas en muchas jurisdicciones Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Una lista actualizada de marcas comerciales de IBM está disponible en ibm.com/trademark.

Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.

Todos los ejemplos de clientes citados o descritos se presentan como ilustraciones de la forma en que algunos han utilizado los productos de IBM y los resultados que pueden haber logrado. Los costos ambientales reales y las características de rendimiento variarán según las configuraciones y condiciones individuales del cliente. En general, no se pueden proporcionar los resultados esperados, ya que los resultados de cada cliente dependerán completamente de los sistemas y servicios que soliciten. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.

 Declaración de buenas prácticas de seguridad. Ningún sistema o producto de TI debe considerarse completamente seguro, y y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido.  IBM no garantiza que ningún sistema, producto o servicio sea inmune o hará que su empresa sea inmune a la conducta maliciosa o ilegal de ninguna parte.