Una compagnia di trasporto navale internazionale gestisce una vasta flotta di navi che si ritrovano spesso offline o possono usufruire solo di una connettività satellitare limitata. La società, il cui equipaggio ha accesso ai computer delle navi, cerca un modo per affrontare rapidamente il malware e altri rischi per la sicurezza, anche quando le navi sono in mare aperto e senza connettività, al fine di evitare la perdita di dati interni.
La sfida:
Le navi rappresentano un ambiente unico nel loro genere, poiché possono rimanere in mare per mesi e mesi di seguito. La connettività Internet è intermittente e la larghezza di banda è spesso limitata e costosa. Gli equipaggi non hanno quasi mai una formazione adeguata in materia di cybersecurity e possono finire per portare a bordo dispositivi non protetti e non sicuri, contenenti malware e ransomware. Per di più, non è possibile bloccare i dispositivi esterni senza sconvolgere processi interni ormai consolidati e creare altri problemi.Tra l'altro, i dispositivi esterni sono essenziali per le normali operazioni e in alcuni casi potrebbero dover essere sostituiti da un momento all'altro. In caso di attacco malware o ransomware, il tempo di risposta è fondamentale, ma l'accesso in tempo reale è raramente disponibile, perché le navi navigano spesso in condizioni sfavorevoli o in aree isolate.
Nell'arco di tre mesi, l'azienda ha utilizzato IBM Security QRadar EDR per prevenire 24 attacchi ransomware
Evitata la perdita di dati monitorando e correggendo decine di altri attacchi
La soluzione:
Dopo una serie di attacchi ransomware che hanno creato gravi problemi alle navi, l'azienda ha chiesto a IBM di proteggere la sua infrastruttura. Da una verifica iniziale dell'igiene è emerso che un gran numero di navi era già stato infettato da diversi malware, tra cui RAT, Trojan e reverse shell. Tutte le infezioni identificate sono state valutate e rimosse, e il software IBM Security QRadar EDR è stato quindi riconfigurato per allinearsi alle specifiche dell'azienda: il rischio per la continuità aziendale doveva essere ridotto al minimo, scongiurando al tempo stesso la perdita di dati in assenza di connettività Internet. Anche il trasferimento dei dati doveva essere ridotto al minimo, al fine di evitare di saturare la connessione satellitare essenziale per le operazioni quotidiane.
Verifica dell'igiene
Dopo l'implementazione iniziale, QRadar EDR ha immediatamente segnalato una serie di comportamenti anomali e li ha rapidamente affrontati e risolti. La maggior parte del malware è stato portato a bordo dagli equipaggi, mentre i rimanenti casi hanno avuto origine da contenuti scaricati da endpoint connessi a Internet. È stata poi avviata una campagna di individuazione delle minacce, che ha portato alla luce alcune istanze di malware "dormienti" in attesa che un operatore remoto si connettesse e assumesse il controllo, successivamente corrette. Per finire, è seguito un periodo di osservazione di sette giorni. Una volta confermata l'assenza di ulteriori anomalie, IBM ha riconfigurato la piattaforma affinché operasse entro i parametri aziendali di utilizzo ottimale dei dati e a basso rischio di interruzione del business.
Operazioni giornaliere
Per centralizzare la gestione delle navi, IBM e l'azienda hanno installato una dashboard di sicurezza nella base principale dell'azienda. Sulle navi, dove le reti di bordo sono unificate e solo un endpoint ha accesso a Internet, IBM ha creato un canale sicuro per consentire a tutti gli endpoint, compresi i dispositivi dell'equipaggio, di fornire dati QRadar EDR (e nient'altro) alla base principale, in cui un team di analisti monitora e risponde ai possibili incidenti.
Quando si prevede che le navi perdano la connessione, la compagnia attiva la funzionalità di protezione dal ransomware offerta da QRadar EDR (il ransomware è l'unico vettore dannoso che può mettere in pericolo i dati, dato che un'infezione da RAT o Trojan non avrebbe effetti immediati a causa dell'assenza di connettività). Tutti gli altri comportamenti vengono monitorati e i relativi dati di tracciamento sono archiviati localmente, per poi essere inviati immediatamente non appena è disponibile un nuovo collegamento Internet.
Nei tre mesi successivi, l'azienda ha utilizzato QRadar EDR per prevenire 24 attacchi ransomware, tracciare e correggere decine di minacce diverse (principalmente RAT) e prevenire la perdita di dati. Senza questa soluzione, le operazioni delle navi sarebbero state compromesse e i dati critici sarebbero stati resi non disponibili, creando condizioni tutt'altro che ideali per l'equipaggio, causando ritardi nelle spedizioni e richiedendo costose operazioni di risposta alle emergenze.
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, luglio 2023.
IBM, il logo IBM, IBM Security e QRadar sono marchi di International Business Machines Corporation, registrati in diverse giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi registrati di IBM o di altre aziende. Un elenco aggiornato dei marchi IBM è disponibile su ibm.com/trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Tutti gli esempi citati relativi a clienti sono presentati per illustrare il modo in cui alcuni clienti hanno utilizzato i prodotti IBM e i risultati da essi eventualmente conseguiti. I costi effettivi relativi agli ambienti e le caratteristiche inerenti alle performance possono variare a seconda delle specifiche configurazioni e condizioni del cliente. In generale non è possibile fornire risultati attesi, poiché i risultati di ciascun cliente dipendono interamente dai sistemi e dai servizi ordinati. LE INFORMAZIONI FORNITE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ PER UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di conformità alle procedure di sicurezza: nessun sistema o prodotto informatico può essere considerato completamente sicuro e nessun singolo prodotto, servizio o misura di sicurezza può essere completamente efficace nel prevenire utilizzi o accessi impropri. IBM non garantisce che i sistemi, i prodotti o i servizi siano immuni da, o renderanno la vostra azienda immune da, comportamenti dolosi o illegali di qualsiasi parte.