Beranda Studi kasus Bandara Internasional Utama Menghentikan serangan siber di bandara internasional utama
Memburu malware di dalam jaringan yang memiliki celah udara menggunakan IBM Security QRadar EDR
Pandangan udara dari pesawat terbang

Salah satu bandara terbesar di dunia ini menjalankan jaringan udara untuk mengelola operasi internal mulai dari keamanan hingga logistik. Terlepas dari sifat bandara yang terisolasi, beberapa perangkat ditemukan terinfeksi malware yang mampu menangkap dan menyimpan informasi secara lokal. 

Tantangan keamanan

  • Infrastruktur penting tanpa toleransi waktu henti

  • Kurangnya langkah-langkah keamanan dalam jaringan

  • Jaringan celah udara yang menghubungkan perangkat dengan keamanan rendah dan keamanan tinggi secara bersamaan

  • Tidak ada visibilitas ke perangkat apa pun di dalam celah udara

Bandara internasional utama ini, salah satu pusat transportasi terbesar di dunia, menghubungkan 70 juta penumpang setiap tahun dengan lebih dari 1.000 penerbangan per hari. Bandara mengikuti protokol keamanan yang sangat baik secara keseluruhan. Ini mengadopsi jaringan yang sepenuhnya terisolasi untuk mengoperasikan beberapa layanan penting dan mencegah infeksi dari internet. Namun, jaringan air-gapped menciptakan rasa aman yang salah. Meskipun semua perangkat dalam celah udara tidak memiliki akses ke internet, setiap segmen jaringan di dalamnya terhubung satu sama lain tanpa kontrol lalu lintas.

Selain itu, jaringan dengan celah udara termasuk perangkat yang dapat diakses secara fisik oleh publik, seperti kios informasi, meninggalkan layanan penting yang terkena serangan potensial. Selain itu, satu-satunya cara untuk membawa informasi dari luar ke dalam adalah dengan menggunakan drive USB, membuat endpoint rentan terhadap potensi malware yang dibawa masuk, tanpa disadari, oleh karyawan bandara. 

1.000 penerbangan

 

Bandara ini memfasilitasi lebih dari 1.000 penerbangan per hari

70 juta

 

Setiap tahunnya, maskapai ini melayani 70 juta penumpang

Visibilitas yang disediakan oleh QRadar EDR memungkinkan rekonstruksi insiden dari awal dan remediasi infeksi yang aman, tanpa mengganggu kelangsungan bisnis bandara.
Deteksi & remediasi, tanpa gangguan

Ringkasan solusi:

  • Bandara ini menerapkan perangkat lunak IBM Security® QRadar® EDR, yang menggunakan teknologi NanoOS untuk visibilitas luar biasa di seluruh endpoint dan infrastruktur.       
                  
  • Mesin perilaku QRadar EDR bekerja tanpa degradasi pada jaringan yang terisolasi.

  • Dengan menggunakan kemampuan berburu ancaman yang kuat, bandara dapat merekonstruksi dan menganalisis insiden.

Bandara menggunakan perangkat lunak IBM Security QRadar EDR untuk menjalankan pemeriksaan kebersihan di jaringan celah udara karena beberapa endpoint tampaknya telah melambat. Setelah QRadar EDR digunakan pada segmen awal, mesin mengambil aktivitas yang berpotensi berbahaya yang berasal dari sejumlah kecil perangkat. Analisis awal menunjuk ke kios yang dapat diakses publik sebagai titik masuk awal, tetapi analisis selanjutnya mengungkap titik masuk kedua, kali ini dari perangkat di area check-in. Kedua vektor berbahaya ini berhasil menyebar ke sejumlah perangkat yang menyentuh segmen jaringan yang berbeda.

Visibilitas yang disediakan oleh platform QRadar EDR memungkinkan rekonstruksi insiden dari awal dan remediasi infeksi yang aman, tanpa mengganggu kelangsungan bisnis bandara.

 

Analisis akar permasalahan

Penerapan awal menunjukkan beberapa anomali perilaku. Sebuah aplikasi memasang keylogger dalam memori dengan menyuntikkannya ke dalam contoh tersembunyi dari peramban default. Setelah itu, utas lain berhasil menggosok disk untuk mencari file Microsoft Word, file PDF, cookie, dan basis data browser. Informasi ini dikumpulkan di dalam folder tersembunyi, dan upaya untuk mengirimkannya ke server command and control (C2) dilakukan secara berkala, meskipun tidak berhasil karena jaringan benar-benar terisolasi dari dunia luar.

Pandangan yang lebih mendalam pada vektor infeksi membawa kembali hasil yang menarik: vektor itu luar biasa besar dan berisi serangkaian mekanisme yang bertujuan melewati tidak hanya antivirus lokal tetapi juga analisis kotak pasir. Ukuran besar kemungkinan besar merupakan bagian dari upaya menghindari mesin emulasi antivirus, karena sistem seperti itu biasanya meniru sebagian kecil dari seluruh biner.

Pada akhirnya, dua vektor yang berbeda diidentifikasi, satu dipasang di kios umum dan yang kedua dipasang di perangkat yang merupakan bagian dari sensor jaringan manajemen check-in. Meskipun kedua vektor itu terlihat berbeda-terutama karena banyaknya instruksi sampah yang digunakan untuk menghindari deteksi-malware itu tampak sama. Dalam kedua kasus tersebut, server tersebut mencoba menghubungi server C2 yang sama dan berperilaku dengan cara yang sama.

 

Rekonstruksi serangan

Ketika QRadar EDR hanya digunakan pasca-pelanggaran, tidak semua informasi tersedia, dan infrastruktur asli hanya menggunakan pencatatan tingkat sistem operasi minimal. Meskipun jumlah informasi yang ada sangat minim, analisis lanjutan menunjukkan bahwa infeksi terjadi lima bulan sebelumnya dan dua endpoint terinfeksi dalam jarak beberapa hari dari dua drive USB yang berbeda. Endpoint lainnya terinfeksi oleh salah satu vektor ini, terutama karena kata sandi yang lemah yang dicoba dicocokkan oleh malware secara acak di setiap perangkat yang dapat disambungkan. Malware ini berhasil mengumpulkan informasi secara terus-menerus dan tampaknya tidak menerapkan kontrol penyimpanan apa pun atau menerapkan batasan pada penyimpanannya sendiri. Sambungan ke C2 dicoba setiap delapan jam, tetapi tidak pernah berhasil karena adanya celah udara.

Analisis akhir menunjukkan bahwa, meskipun malware memiliki kemampuan replikasi sendiri dan dapat secara otomatis menyalin penyimpanannya ke drive USB eksternal, fungsionalitas ini tidak diaktifkan. Tampaknya, eksfiltrasi seharusnya dimulai secara manual.

 

Respon dan remediasi

Bandara menggunakan modul remediasi di QRadar EDR untuk membersihkan perangkat yang terinfeksi dan menghapus folder penyimpanan yang teridentifikasi untuk menghindari kebocoran data. Antarmuka perburuan ancaman dari solusi ini terbukti penting untuk mengonfirmasi ketiadaan vektor yang sama dari seluruh infrastruktur, kecuali dari perangkat yang terinfeksi yang telah diidentifikasi. Pihak bandara juga melakukan pencarian perilaku untuk memastikan tidak ada contoh malware yang berjalan tanpa terdeteksi di perangkat lain. Ia memburu semua perilaku yang teridentifikasi, ancaman yang terus-menerus, dan metode pengumpulan data hingga dapat memastikan tidak adanya vektor tersebut dan variannya dari infrastruktur.

Akhirnya, tim keamanan setempat menetapkan seperangkat aturan yang lebih ketat untuk kontrol lalu lintas internal. Bagian publik dari jaringan diisolasi dari operasi, dan tim keamanan lokal mulai menjalankan pemantauan endpoint yang berkelanjutan dan kampanye perburuan ancaman secara teratur. 

Bandara menggunakan modul remediasi di QRadar EDR untuk membersihkan perangkat yang terinfeksi dan menghindari kebocoran data. Antarmuka berburu ancaman solusi membantu mengkonfirmasi tidak adanya vektor dari seluruh infrastruktur.
Kesimpulan: menghilangkan risiko besar terhadap layanan bandara

Celah udara dapat memberikan tingkat keamanan yang kuat, tetapi jika tidak diimplementasikan dengan cara yang ketat, hal ini dapat menciptakan rasa aman yang palsu. Meskipun motivasi serangan masih belum jelas, karena data dikumpulkan tetapi tidak pernah disusupi, kami yakin dapat berasumsi bahwa para penyerang memiliki pintu terbuka ke dalam infrastruktur bukan hanya untuk menyusupkan informasi tetapi juga untuk secara aktif merusak operasi bandara. Ransomware sederhana yang diluncurkan terhadap area check-in akan menyebabkan penundaan yang tak terelakkan; serangan yang sama yang diluncurkan terhadap area keamanan akan langsung berhasil memblokir penerbangan dan menimbulkan dampak yang parah. 
Tentang klien

Bandara internasional utama ini adalah salah satu pusat transportasi terbesar di dunia. Menghubungkan 70 juta penumpang setiap tahun dengan lebih dari 1.000 penerbangan per hari, fasilitas ini diklasifikasikan sebagai infrastruktur penting. 
Komponen solusi IBM Security® QRadar® EDR
Selanjutnya:
delete this
Lihat PDF studi kasus Mencegah serangan malware dan ransomware

Suatu perusahaan pelayaran internasional menerapkan keamanan endpoint otomatis pada kapal dengan konektivitas satelit terbatas.

 Baca studi kasus Infrastruktur penting

Melacak serangan rantai pasokan yang sangat canggih terhadap fasilitas pengelolaan air 

 Baca studi kasus
Hukum

© Hak Cipta IBM Corporation 2023. IBM Corporation, IBM Cloud, New Orchard Road, Armonk, NY 10504

Diproduksi di Amerika Serikat, Juni 2023

IBM, logo IBM, ibm.com, dan IBM QRadar adalah merek dagang dari International Business Machines Corp, yang terdaftar di banyak yurisdiksi di seluruh dunia. Nama produk dan layanan lain mungkin merupakan merek dagang dari IBM atau perusahaan lain. Daftar merek dagang IBM saat ini tersedia di web di "Informasi hak cipta dan merek dagang" di ibm.com/trademark.

Dokumen ini adalah yang terbaru pada tanggal awal publikasi dan dapat diubah oleh IBM kapan saja. Tidak semua penawaran tersedia di setiap negara tempat IBM beroperasi.

Data kinerja dan contoh klien yang dikutip disajikan hanya untuk tujuan ilustrasi. Hasil kinerja aktual dapat bervariasi, tergantung pada konfigurasi dan kondisi pengoperasian tertentu. INFORMASI DALAM DOKUMEN INI DISEDIAKAN "SEBAGAIMANA ADANYA" TANPA JAMINAN APA PUN, BAIK TERSURAT MAUPUN TERSIRAT, TERMASUK TANPA JAMINAN UNTUK DAPAT DIPERJUALBELIKAN, KESESUAIAN UNTUK TUJUAN TERTENTU, DAN JAMINAN ATAU KETENTUAN APA PUN YANG TIDAK MELANGGAR. Produk IBM dijamin sesuai dengan syarat dan ketentuan perjanjian yang mengatur penyediaan produk tersebut.