解决方案：

• 在所有船舶端点上安装了 IBM Security^® QRadar^® EDR。
  
  
• 低数据使用量使地勤人员能够实时监控船舶并在连接可用时做出响应。
  
  
• 当互联网连接不可用时，自动响应和补救措施有助于消除威胁。

在一系列勒索软件攻击给船舶造成严重问题后，该运输公司要求 IBM 保护其基础设施的安全。初步卫生检查显示，大量船舶已经感染了各种恶意软件，包括 RAT、特洛伊木马和反向 Shell。所有已识别的感染均经过评估和移除，然后重新配置 IBM Security QRadar EDR 软件以符合公司的规范：必须最大限度地降低业务连续性风险，同时确保在没有互联网连接时不会丢失数据。此外，还必须尽量减少数据传输，以避免对日常运行至关重要的卫星连接达到饱和。

卫生检查

初次部署后，QRadar EDR 立即标记出各种异常行为，并迅速进行处理和修复。大多数恶意软件是由船员带入船上的，而其他情况则源于从连接互联网的终端下载的内容。威胁搜寻活动启动后，发现了几个“休眠”的恶意软件实例，等待远程操作员连接并进行控制。这些问题也得到了修复，随后进行了为期七天的观察。在确认没有进一步的异常情况后，IBM 对平台进行了重新配置，以便该平台在公司的最佳数据使用参数和低业务中断风险范围内运行。

日常运营

为了实现船舶管理集中化，IBM 和该运输公司在公司的主基地安装了安全仪表板。在船上，船上网络是统一的，只有一个端点可以访问互联网，IBM 创建了一个安全通道，允许所有端点（包括船员的设备）将 QRadar EDR 数据（而不是其他数据）传送到主基地，以供主基地的分析师团队监控和响应可能发生的事件。

当船舶计划脱机时，运输公司会启用 QRadar EDR 的勒索软件防护功能，因为勒索软件是唯一可能危及数据的恶意媒介。由于缺乏连接，通过 RAT 或特洛伊木马进行的感染不会立即产生影响。所有其他行为都会受到监控，其跟踪数据会在本地存档，并在互联网链接再次可用后立即传送。

在接下来的三个月中，该运输公司使用 QRadar EDR 来防范 24 起勒索软件攻击，跟踪并修复几十种不同的威胁（主要是 RAT）并防止数据丢失。如果没有这个解决方案，船舶的运营将会受到影响，并且船员在不太理想的条件下将无法获得关键数据，从而造成运输延误并需要代价高昂的紧急响应操作。