主页
Case Studies
国际运输公司
一家国际运输公司管理着庞大的船队,这些船队通常处于离线状态,或者卫星连接有限。该公司的船员可以访问船上的计算机,他们寻求一种快速解决恶意软件和其他安全风险的方法,即使船舶在海上没有连接时也是如此,以防止内部数据丢失。
挑战:
船舶代表着独特的环境,因为它们一次可能在海上停留数月。互联网连接时断时续,而且带宽通常有限且昂贵。船员通常没有接受过网络安全培训,最终可能会携带包含恶意软件和勒索软件的不安全、无保障的设备。由于内部流程已建立,因此不可能在不产生其他问题的情况下阻止外部设备。此类设备对于正常运行也是必不可少的,可以在各种紧急情况下立即更换。如果发生恶意软件或勒索软件感染,响应时间至关重要,但实时访问很少可用,因为船舶经常在不利条件或偏远区域航行。
在三个月的时间里,该公司使用 IBM Security QRadar EDR 来防止 24 种勒索软件攻击
通过跟踪和修复数十种其他攻击避免数据丢失
解决方案:
在一系列勒索软件攻击给船舶造成严重问题后,该运输公司要求 IBM 保护其基础设施的安全。初步卫生检查显示,大量船舶已经感染了各种恶意软件,包括 RAT、特洛伊木马和反向 Shell。所有已识别的感染均经过评估和移除,然后重新配置 IBM Security QRadar EDR 软件以符合公司的规范:必须最大限度地降低业务连续性风险,同时确保在没有互联网连接时不会丢失数据。此外,还必须尽量减少数据传输,以避免对日常运行至关重要的卫星连接达到饱和。
卫生检查
初次部署后,QRadar EDR 立即标记出各种异常行为,并迅速进行处理和修复。大多数恶意软件是由船员带入船上的,而其他情况则源于从连接互联网的终端下载的内容。威胁搜寻活动启动后,发现了几个“休眠”的恶意软件实例,等待远程操作员连接并进行控制。这些问题也得到了修复,随后进行了为期七天的观察。在确认没有进一步的异常情况后,IBM 对平台进行了重新配置,以便该平台在公司的最佳数据使用参数和低业务中断风险范围内运行。
日常运营
为了实现船舶管理集中化,IBM 和该运输公司在公司的主基地安装了安全仪表板。在船上,船上网络是统一的,只有一个端点可以访问互联网,IBM 创建了一个安全通道,允许所有端点(包括船员的设备)将 QRadar EDR 数据(而不是其他数据)传送到主基地,以供主基地的分析师团队监控和响应可能发生的事件。
当船舶计划脱机时,运输公司会启用 QRadar EDR 的勒索软件防护功能,因为勒索软件是唯一可能危及数据的恶意媒介。由于缺乏连接,通过 RAT 或特洛伊木马进行的感染不会立即产生影响。所有其他行为都会受到监控,其跟踪数据会在本地存档,并在互联网链接再次可用后立即传送。
在接下来的三个月中,该运输公司使用 QRadar EDR 来防范 24 起勒索软件攻击,跟踪并修复几十种不同的威胁(主要是 RAT)并防止数据丢失。如果没有这个解决方案,船舶的运营将会受到影响,并且船员在不太理想的条件下将无法获得关键数据,从而造成运输延误并需要代价高昂的紧急响应操作。
© Copyright IBM Corporation 2023。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
2023 年 7 月在美国制作。
IBM、IBM 徽标、IBM Security 和 QRadar 是 International Business Machines Corporation 在世界各地司法辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。IBM 商标的最新列表可在 ibm.com/trademark 上找到。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
以上所有引用或描述的客户实例的展示取决于部分客户使用 IBM 产品的方式以及他们可能取得的结果。实际的环境成本和性能特征会因具体客户配置和情况而有所不同。无法提供通用的预期结果,因为每个客户的结果将完全取决于客户的系统和订购的服务。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不当使用或访问。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。