Opinión
Seguridad
Malware
Ransomware

Y, ¿cuándo parchear no es una solución?

Desde el pasado 12 de mayo, el virus WannaCry ha mantenido extremadamente ocupados a todos los departamentos de seguridad y sistemas en las compañías y organización de nuestro país.

Antivirus Stock

 

Desde el pasado 12 de mayo, el virus WannaCry ha mantenido extremadamente ocupados a todos los departamentos de seguridad y sistemas en las compañías y organización de nuestro país. El causante y responsable de ello ha sido el ataque masivo con alcance e impacto mundial de un software malicioso de tipo ransomware que, en el caso de España, causó estragos en compañías como Telefónica, Gas Natural e Iberdrola, y obligó a todas las organizaciones a revisar su situación y adoptar a toda prisa medidas paliativas o preventivas.

WannaCry se extiende rápidamente por la red aprovechándose de una vulnerabilidad presente en equipos con sistema operativo Microsoft Windows que no se encuentren convenientemente actualizados. De hecho, Microsoft ya había detectado el problema en marzo y desde entonces disponía de su correspondiente parche de seguridad.

¿Qué han hecho, por tanto, haciendo los departamentos de seguridad y sistemas durante la crisis? Junto a otras medidas, principalmente actualizar cientos de equipos para asegurarse que su parque informático se encuentra convenientemente actualizado, pero ¿es siempre posible considerar esta medida como solución ante una amenaza de este tipo?

Actualizar el sistema operativo para disponer de los últimos parches de seguridad debería ser natural y realizarse de forma rutinaria o automática, pero en muchos casos no sucede así. Existen muchos sistemas críticos, fundamentalmente en entornos industriales y militares que, para mantener el control de sofisticados sistemas de fabricación o armamento, utilizan sistemas operativos que se encuentran descatalogados o cuyas estrictas normativas y especificaciones de funcionamiento prohíben expresamente cualquier modificación sobre su software de control. ¿Qué hecho las organizaciones o compañías en esta situación?

Cuando no podemos parchear directamente los equipos, para detener la amenaza hay que proteger al equipo antes de que alcance al mismo, poniendo un sistema de detección y prevención justo delante del equipo cuando este se conecte a la red. Este equipo de seguridad será el responsable de detectar la amenaza y deberá estar permanentemente y convenientemente actualizado para bloquear el peligro y neutralizar el ataque. Es la práctica que denominamos Virtual Patching. Ante la imposibilidad de actuar en el equipo, se sitúa delante un sistema que sí se puede actualizar con las últimas versiones para detectar o neutralizar las amenazas a medida que estas se van conociendo o analizando.

En el mundo de las redes industriales, existen, con carácter general, serias deficiencias en la protección de los sistemas informáticos de control, debido a que estas redes, hasta hace bien poco se encontraban aisladas y no tenía una conexión directa o indirecta a Internet, de forma que no estaban expuestas a ataques exteriores. Pero desde hace ya un tiempo, estas redes se han ido conectando con el resto de las redes corporativas que sí mantienen comunicación con Internet y, de esta forma, han quedado expuestas a las amenazas exteriores y su seguridad puede, por tanto, verse comprometida.

Si tenemos en cuenta que en los entornos industriales trabajamos con sistemas operativos antiguos -el sistema operativo más utilizado en los sistemas de control industrial es Windows XP-SP3-, que no podemos migrar o parchear, que en muchos casos no tienen soporte del fabricante y con los que trabajan muy pocos antivirus a pesar de tener muchas vulnerabilidades públicas y conocidas, está claro que en muchas industrias de este país y, por supuesto, del resto del mundo el camino para escapar de la amenaza WannaCry habrá sido volver a aislar estas redes mientras se adquiere, instalan y configuran los sistemas que permitan parchear virtualmente estos equipos.

Ante este escenario, resulta más que razonable que la industria revise sus políticas y procedimientos de seguridad lógica, contemplando todos los dominios de seguridad, que incluyen de forma integrada tanto las redes de datos corporativas como las industriales, incluyendo incluso las relaciones con proveedores y terceros asociados a su cadena de valor. Una buena guía de referencia para dar ese paso es el Esquema Nacional de Seguridad Industrial (ENSI).

Este artículo ha sido escrito por Emeterio Cuadrado, director de seguridad del grupo CMC. 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper