Amenazas cibernéticas: ¿su estrategia de seguridad industrial es suficiente?

¿su estrategia de seguridad industrial es suficiente?

La mejor defensa es una buena ofensiva con un plan de prevención y respuesta para proteger los sistemas de control industrial de los ciberataques cada vez más crecientes.

Junio de 2017: un ataque cibernético comienza en Ucrania y luego se extiende en Europa y Estados Unidos. Los titulares de la web se llenaron de frases como: “¡Ramsomware”, “Se caen los sistemas de las empresas de fabricación” y “Se ha detenido la producción!”. El culpable fue un programa de malware denominado NotPetya. Al principio se pensó que era un ramsomware, pero NotPetya resultó ser un virus limpiador (wiper) con métodos de propagación propios de un gusano (worm). Lo llamaremos WiperWorm.

Ahora que los servidores y los equipos de los clientes han vuelto a funcionar, que los sistemas de produción (control, visualización y proceso por lotes) han regresado a su trabajo normal y que las plantas producen artículos de nuevo, ha llegado el momento de reflexionar sobre lo ocurrido.

Planes de seguridad de computadoras

Los equipos que contaban con una estrategia decidieron con cuidado qué acciones tomar y las pusieron en marcha con un objetivo. Normalmente, las respuestas efectivas ante ataques de este tipo incluyen alguno de los procedimientos mencionados en la Computer Security Incident Handling Guide (Guía de gestión de incidentes de seguridad en computadoras), Publicación especial 800-61 del National Institute of Standards and Technology.

En primer lugar, evaluar el alcance del impacto y analizar lo que estaba provocando el problema permitió a esos equipos contener la amenaza. Aunque en muchos casos no fue posible.

En algunas empresas, el WiperWorm NotPetya alcanzó a casi todas las computadoras con Windows conectadas a la red del sistema de control industrial. Sin embargo, con pocas perspectivas de recuperación de los sistemas infectados, el siguiente paso lógico era intentar restaurar los sistemas a partir de las copias de seguridad. En caso de no contar con dichas copias, había que reconstruir todos los sistemas en producción desde el principio, una situación muy costosa, tanto desde el punto de vista monetario como en cuanto al tiempo necesario para lograrlo.

Los afortunados que disponían de copias de seguridad tenían la esperanza de recuperar sus sistemas, aunque tuvieran que asegurarse de hacerlo en una red aislada para evitar la reinfección. A este respecto, la rápida respuesta de los mejores ingenieros e investigadores de ciberseguridad proporcionó las claves para evitarla:

  • Aplicar el parche para la vulnerabilidad MS17-010 que evitaba que los exploits EternalBlue y EternalRomance comprometieran el sistema.
  • Desactivar wmic.

Implementar un fix en el Registro para desactivar todas las comparticiones como C$ y ADMIN$ eliminando así uno de los vectores de propagación.

Desafíos en la fase de recuperación

Para recuperar los sistemas, algunas empresas tuvieron que afrontar la dificultad de que algunos de los métodos de propagación del WiperWorm también eran necesarios en funciones clave de las aplicaciones en producción, por lo que no siempre podían desactivarlos o restringirlos.

¿La lección aprendida? La medida preventiva más efectiva contra un WiperWorm es seguir prácticas reconocidas de seguridad: “las medidas básicas”, si lo prefiere. Existen innumerables artículos sobre el tema, pero los puntos clave son:

  • Reforzar los sistemas antes de subirlos a producción.
  • Ejecutar los programas desde cuentas de usuario con derechos restringidos siempre que sea posible.
  • Instalar los parches en los sistemas e invertir en una buena solución de seguridad de cliente o antivírus.

Esté preparado

La mejor estrategia para defenderse de un WiperWorm, de un Ramsomware o del resto de amenazas de malware es estar preparado.  Aplique los parches y refuerce sus sistemas para prevenir los ataques y, si no puede prevenirlos, asegúrese de poder restaurar sus sistemas de producción críticos a partir de una copia de seguridad. Estar preparado puede marcar la diferencia entre seguir con su funcionamiento normal o tener que reconstruir por completo sus sistemas de producción.

Proteja sus operaciones ante las amenazas de seguridad con nuestros servicios de seguridad industrial.

¿Cómo NotPetya funciona?

NotPetya cuenta con varios mecanismos utilizados para propagarse cuando infecta un dispositivo:

  1. EternalBlue: el mismo exploit utilizado por WannaCry.
  2. EternalRomance: un exploit de SMBv1 filtrado por "ShadowBrokers".
  3. PsExec: una herramienta legítima de administración de Windows.
  4. WMI: Windows Management Instrumentation, un componente legítimo de Windows.

Fuente: Talos

 

Por Pascal Ackerman, consultor sénior de Seguridad Cibernética Industrial, Rockwell Automation

 

 

Lea más acerca de las Soluciones de Seguridad Industrial.

Automation Today

La revista Automation Today es una publicación semestral de Rockwell Automation que tiene como finalidad comunicar las tendencias y soluciones en el área de la automatización industrial.