Ciberamenazas: ¿Su estrategia actual de seguridad industrial basta?

Defensa ante los ataques de ramsomware

Ahora que los servidores y los equipos cliente han vuelto a funcionar, que los sistemas de control, de visualización y de proceso por lotes han regresado a su trabajo normal y que las plantas producen artículos de nuevo, ha llegado el momento de reflexionar sobre lo ocurrido recientemente.

Recuerdo muy bien cómo empezó el problema. Los titulares de la web se llenaron de frases como: “¡Ramsomware, se caen los sistemas de las empresas de fabricación, se ha detenido la producción!”. Desde luego, he tenido mejores despertares en verano.

El culpable fue un programa de malware denominado Nyetya o NotPetya. Al principio se pensó que era un ramsomware, pero NotPetya resultó ser un virus limpiador (wiper) con métodos de propagación propios de un gusano. Lo llamaremos WiperWorm a partir de ahora.

Webinar: Proteja su planta y su empresa de Ransomware con soluciones de seguridad. Acompañenos el martes, 10 de agosto de 2017 a partir de las 12:00 p.m. - 13:00 p.m.. CT.

Los equipos que contaban con una estrategia decidieron con cuidado qué acciones tomar y las pusieron en marcha con un objetivo. Normalmente, las respuestas efectivas ante ataques de este tipo incluyen alguno de los procedimientos mencionados en la Computer Security Incident Handling Guide (Guía de gestión de incidentes de seguridad en ordenadores), Publicación especial 800-61 del National Institute of Standards and Technology.

En primer lugar, evaluar el alcance del impacto y analizar lo que estaba provocando el problema permitió a esos equipos contener la amenaza. Aunque en muchos casos no fue posible.

En algunas empresas, el WiperWorm NotPetya alcanzó a casi todos los ordenadores con Windows conectados a la red del sistema de control industrial. Sin embargo, con pocas perspectivas de recuperación de los sistemas infectados, el siguiente paso lógico era intentar restaurar los sistemas a partir de las copias de seguridad. En caso de no contar con dichas copias, había que reconstruir todos los sistemas en producción desde el principio, una situación muy costosa, tanto desde el punto de vista monetario como en cuanto al tiempo necesario para conseguirlo.

Los afortunados que disponían de copias de seguridad tenían la esperanza de recuperar sus sistemas, aunque tuvieran que asegurarse de hacerlo en una red aislada para evitar la reinfección.

A este respecto, la rápida respuesta de los mejores ingenieros e investigadores de ciberseguridad proporcionó las claves para evitarla:

  • Aplicar el parche para la vulnerabilidad MS17-010 que evitaba que los exploits EternalBlue y EternalRomance comprometieran el sistema.
  • Desactivar wmic.
  • Implementar un fix en el Registro para desactivar todas las comparticiones como C$ y ADMIN$ eliminando así uno de los vectores de propagación.

Para recuperar los sistemas, algunas empresas tuvieron que afrontar la dificultad de que algunos de los métodos de propagación del WiperWorm también eran necesarios en funciones clave de las aplicaciones en producción, por lo que no siempre podían desactivarlos o restringirlos.

¿La lección aprendida? La medida preventiva más efectiva contra un WiperWorm es seguir prácticas reconocidas de seguridad: “las medidas básicas”, si lo prefiere. Existen innumerables artículos sobre el tema, pero los puntos clave son:

  • Reforzar los sistemas antes de subirlos a producción
  • Ejecutar los programas desde cuentas de usuario con derechos restringidos siempre que sea posible
  • Instalar los parches en los sistemas e invertir en una buena solución de seguridad de cliente o antivirus

Nuestros servicios de asistencia técnica pueden ayudarle a implementar estas reconocidas prácticas de seguridad en un entorno con sistemas de control industrial.

Suscripción validada a los parches de Windows

Este tipo de suscripciones pueden ofrecerle los últimos parches validados de Windows para su entorno industrial. Por ejemplo, en Rockwell Automation, validamos nuestros parches en entornos robustos de prueba para así minimizar el riesgo de impacto en las aplicaciones. Los parches están disponibles conectando su servidor de Windows Server Update Services (WSUS) a nuestro WSUS gestionado y basado en la nube.

Cuando los parches estén disponibles en su WSUS, podrá planificar cuándo aplicarlos a sus sistemas. Si lo necesita, nuestros Servicios de seguridad y de red pueden ayudarle a desarrollar o a modificar sus propios procedimientos y políticas de esta aplicación de parches industrial.

eBook: Seguridad Industrial: Protección de redes e instalaciones contra un paisaje de amenazas que cambia rápidamente.

Gestión remota de antivirus y parches

Puede utilizar estos servicios para reducir el riesgo de no actualizar los parches de Windows o las definiciones de los antivirus y para evitar procedimientos inadecuados de aplicación de parches.

Por ejemplo, establecemos una conexión remota segura con su entorno de computación industrial que monitoriza el estado de su infraestructura y de sus imágenes y que, al mismo tiempo, gestiona los cambios necesarios en el entorno.

A continuación, trabajamos conjuntamente con usted para establecer la periodicidad y el procedimiento de actualización de antivirus y parches. Este procedimiento comprobará la funcionalidad de las imágenes y de las aplicaciones antes de volver a ponerlas en producción.

Gestión remota de copias de seguridad

Por último, puede utilizar este servicio para reducir el riesgo de no disponer de copias de seguridad o de no contar con un servicio de acceso remoto que permita a los expertos ayudarle a restaurar rápidamente los servicios. Con él, monitorizamos la integridad de las copias de seguridad y realizamos la restauración. Por ejemplo, nuestros servicios pueden:

  • Instalar un dispositivo para copias de seguridad en entornos industriales, configurado para funcionar según las necesidades de frecuencia de copia y requisitos de retención de su sistema
  • Realizar monitorizaciones remotas del estado del dispositivo y de las copias de seguridad
  • Realizar restauraciones remotas bajo demanda para restablecer las imágenes de estados previos “correctos”

La mejor estrategia para defenderse de un WiperWorm, de un Ramsomware o del resto de amenazas de malware es estar preparado.

Aplique los parches y refuerce sus sistemas para prevenir los ataques y, si no puede prevenirlos, asegúrese de poder restaurar sus sistemas de producción críticos a partir de una copia de seguridad.

Estar preparado puede marcar la diferencia entre seguir con su funcionamiento normal o tener que reconstruir por completo sus sistemas de producción.

Proteja sus operaciones ante las amenazas de seguridad con nuestros servicios de seguridad industrial.

Pascal Ackerman
Publicado 18 Septiembre 2017 Por Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation
  • Contacto:

Blog

Queremos mantenerte al día con lo que está sucediendo en tu industria. El Blog de Rockwell Automation es una plataforma para nuestros empleados y bloggers invitados para compartir temas en tecnología y la industria.