Inicio Casos de Estudio Empresa de transporte internacional Prevención de ataques de malware y ransomware
Una naviera internacional implementa seguridad automatizada de puntos finales en buques con conectividad por satélite limitada
Vista aérea del barco de carga en el océano transportando contenedores

Una naviera internacional gestiona una gran flota de embarcaciones que a menudo están fuera de línea o con conectividad por satélite limitada. La compañía, cuya tripulación tiene acceso a las computadoras de los barcos, buscó una manera de abordar el malware y otros riesgos de seguridad rápidamente, incluso cuando los barcos están en el mar sin conectividad, para evitar la pérdida de datos internos.

El desafío:

  • La solución heredada no pudo detectar malware y ransomware varias veces.

  • Las firmas de la solución antigua casi nunca se actualizan debido a las restricciones de ancho de banda y conectividad.

  • No se puede monitorizar las 24 horas del día, los 7 días de la semana debido a la falta de disponibilidad de la conexión a Internet.

  • No hay personal de ciberseguridad a bordo y la tripulación no está capacitada.

  • A menudo se conectaban dispositivos no autorizados a las computadoras de los barcos.

Los barcos representan un entorno único, ya que pueden estar en el mar durante meses. La conectividad a Internet es intermitente y, a menudo, el ancho de banda es limitado y costoso. Las tripulaciones no suelen tener formación en ciberseguridad y pueden acabar subiendo a bordo dispositivos inseguros y poco seguros que contienen malware y ransomware. Debido a procesos internos establecidos, no es posible bloquear dispositivos externos sin crear otros problemas. Estos dispositivos también son esenciales para el funcionamiento normal y podrían ser sustituidos en un momento dado en caso de contingencias diversas. En caso de infección por malware o ransomware, el tiempo de respuesta es crítico, pero rara vez se dispone de acceso en tiempo real porque los buques suelen navegar en condiciones desfavorables o en zonas aisladas.

Seguridad mejorada

 

En el transcurso de tres meses, la compañía utilizó IBM Security QRadar EDR para evitar 24 ataques de ransomware

Remediación sólida

 

Se evitó la pérdida de datos mediante el seguimiento y la reparación de docenas de otros ataques
Detección y corrección

La solución:

  • IBM® Security QRadar EDR instalado en todos los endpoints de envío.

  • El bajo uso de datos permite a las tripulaciones de tierra monitorizar los barcos en tiempo real y responder cuando hay conexiones disponibles.

  • La respuesta automatizada y la corrección ayudan a eliminar las amenazas mientras la conexión a Internet no está disponible.

Después de una serie de ataques de ransomware que causaron graves problemas a los barcos, la compañía naviera pidió a IBM que asegurara su infraestructura. Una verificación de higiene inicial mostró una gran cantidad de barcos ya infectados con una variedad de malware, incluidos RAT, troyanos y shells inversos. Todas las infecciones identificadas se evaluaron y eliminaron, y el software IBM Security QRadar EDR se reconfiguró para alinearse con las especificaciones de la empresa: el riesgo para la continuidad del negocio debía minimizarse al tiempo que se aseguraba la pérdida de datos cuando no había conectividad a Internet. También había que minimizar la transferencia de datos para no saturar la conexión por satélite, esencial para las operaciones diarias. 

 

Comprobación de estado

Tras la implementación inicial, QRadar EDR detectó inmediatamente una variedad de comportamientos anómalos y los abordó y solucionó rápidamente. La mayor parte del malware lo habían incorporado las tripulaciones, mientras que otros casos se originaban en contenido descargado desde puntos finales conectados a Internet. Se inició una campaña de búsqueda de amenazas y reveló algunas instancias de malware "inactivas" a la espera de que un operador remoto se conecte y tome el control. Estos también fueron remediados y siguió un período de observación de siete días. Después de confirmar la ausencia de anomalías adicionales, IBM reconfiguró la plataforma para operar dentro de los parámetros de la empresa con un uso óptimo de los datos y un bajo riesgo de interrupción del negocio.

 

Operación diaria

Para centralizar la gestión de envíos, IBM y la empresa transportista instalaron un panel de seguridad en la base principal de la empresa. En los barcos, donde las redes a bordo están unificadas y solo un punto final tiene acceso a Internet, IBM creó un canal seguro para permitir que todos los puntos finales, incluidos los dispositivos de la tripulación, entreguen datos QRadar EDR (y nada más) a la base principal, donde un equipo de analistas monitoriza y responde a posibles incidentes.

Cuando los barcos están programados para desconectarse, la compañía naviera habilita la capacidad de protección contra ransomware de QRadar EDR, ya que el ransomware es el único vector malicioso que podría poner en peligro los datos. Una infección por medio de un RAT o troyano no habría tenido un impacto inmediato, debido a la ausencia de conectividad. Todos los demás comportamientos se monitorizan, con sus datos de seguimiento archivados localmente, para entregarlos inmediatamente después de que vuelva a estar disponible un enlace a Internet.
Prevención de la pérdida de datos

Durante los siguientes tres meses, la compañía naviera utilizó QRadar EDR para prevenir 24 ataques de ransomware, rastrear y remediar unas pocas docenas de amenazas diferentes, en su mayoría RAT, y evitar la pérdida de datos. Sin esta solución, las operaciones de los buques se habrían visto comprometidas y los datos críticos no habrían estado disponibles en condiciones poco idóneas para la tripulación, lo que habría provocado retrasos en la navegación y requerido costosas operaciones de respuesta de emergencia.
Acerca de la empresa de mensajería internacional

La principal empresa de transporte internacional gestiona más de 200 envíos que transportan mercancías en todo el mundo.

 
Componente de la solución IBM Security® QRadar® EDR
A continuación:
Ver el estudio de caso PDF Suscríbase al boletín de IBM Aeropuerto internacional importante

Búsqueda de programa malicioso dentro de una red aislada utilizando IBM Security QRadar EDR

Lea el caso práctico Infraestructura crucial

Seguimiento de un ataque sumamente complejo a la cadena de suministro contra una instalación de gestión de recursos hídricos

 Lea el caso práctico
Legal

© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard, Armonk, NY 10504

Producido en los Estados Unidos de América, julio de 2023.

IBM, el logotipo de IBM, IBM Security e QRadar son marcas comerciales de International Business Machines Corporation, registradas en muchas jurisdicciones del mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Una lista actualizada de marcas comerciales de IBM está disponible en ibm.com/trademark.

Este documento se actualizó por última vez en la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.

Todos los ejemplos de clientes citados o descritos se presentan como ilustración de la forma en que algunos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. Los costes medioambientales y las características de rendimiento reales variarán en función de las configuraciones y condiciones de cada cliente. No es posible garantizar resultados esperados, puesto que los resultados de cada cliente van a depender por completo de los sistemas y servicios solicitados por los servicios solicitados por este. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.

 Declaración de buenas prácticas de seguridad: Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso.  IBM no garantiza que los sistemas, productos o servicios sean inmunes o vayan a hacer que su empresa sea inmune a la conducta maliciosa o ilegal de terceros.