Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Por qué la fabricación debe proteger los recursos de IIoT contra el ransomware

Christer Swartz
Director de Marketing de Soluciones
Illumio Editorial
November 22, 2022
23 min. leer

El ransomware no es una nueva amenaza para la seguridad. Apareció por primera vez en 1989 y se distribuyó a través de disquetes.

Pero adquirió una segunda vida dramática como el modelo de negocio criminal moderno ideal: secuestrar recursos críticos en entornos industriales a cambio de un rescate.

Los teclados son más efectivos que las armas para mantener como rehenes las infraestructuras industriales. El problema solo empeorará antes de que la seguridad de los activos digitales se aborde específicamente como una prioridad de ciberseguridad dentro de los sectores de fabricación e infraestructura crítica.

Un gran número de ataques recientes de ransomware se dirigieron a los sectores de fabricación e infraestructuras críticas, y estos sectores se centraron tradicionalmente en la creación de activos físicos.

Sin embargo, la mayor parte de la industria manufacturera está migrando rápidamente muchas de sus plataformas informáticas y soluciones de acceso remoto a la nube, exponiendo sus sistemas de control industrial y sensores de fábrica a vectores de ataque provenientes de la nube.

Los ataques de ransomware cuestan millones de fabricación cada año

El sector manufacturero puede considerar tradicionalmente inmune a la delincuencia digital. Pero están equivocados.

El 21 por ciento de los ataques de ransomware son contra la fabricación, y el sector paga la mayor cantidad de rescate de todas las industrias, con un promedio de 2.036 millones de dólares en 2021.

Todo lo que se necesita es que un pirata informático motivado viole las herramientas de seguridad en la nube de un fabricante y acceda de forma remota a controladores o sensores críticos (dispositivos IIoT) implementados en lo profundo de un entorno industrial o de fábrica y los deshabilite. Esto causa riesgos físicos muy reales de la intrusión digital, lo que obliga a la víctima a elegir entre pagar un rescate o lidiar con las consecuencias de las operaciones deshabilitadas.

La mayoría de las víctimas deciden que pagar un rescate es la opción más barata, lo que les cuesta millones a las organizaciones manufactureras.

El ransomware es un objetivo demasiado tentador para el ciberdelincuente moderno, ya que es una garantía casi segura de ganancias financieras. El ransomware como servicio incluso existe en el sitio web oscuro, con contratos de soporte y mesas de ayuda para ayudar a los aspirantes a ciberdelincuentes a elegir a su próxima víctima.

Y la implementación de ransomware es a menudo el último paso en la intrusión del ciberdelincuente en un entorno industrial. Primero buscan activos críticos para deshabilitarlos, exponer la propiedad intelectual y aprender qué cobertura de seguro de ciberseguridad tiene la víctima prevista para establecer un precio de rescate. Una vez que se extrajo esta información, el paso final es mantener la infraestructura como rehén a cambio de pagos, que la mayoría de las víctimas eligen pagar. Es el sueño de un ciberdelincuente hecho realidad.

Los ataques de ransomware a la fabricación tienen riesgos en el mundo real

El sector manufacturero se percibió durante mucho tiempo como en su mayoría fuera del alcance del delito cibernético. Si una cadena industrial de fábricas produce energía, acero, alimentos o realiza operaciones mineras, por ejemplo, ¿cuánto riesgo corren para el cibercrimen?

En realidad, el riesgo de ciberdelincuencia es alto.

En 2015, se informó que una acería en Alemania experimentó lo que se afirmó que era el primer ejemplo de daño físico como resultado de un ataque cibernético. Los ciberdelincuentes lograron acceder de forma remota a algunos sistemas de control críticos en la fábrica que estaban conectados a su red de TI, y estos fueron desactivados. Esto provocó que los sensores críticos no pudieran monitorear los niveles de calor en la fábrica, lo que provocó que un alto horno se dañara gravemente debido a que estos sensores no lo apagaron automáticamente.

El mundo físico se vio repentinamente expuesto a riesgos puramente digitales, y desde entonces este hecho no pasó desapercibido para los ciberdelincuentes.

Pagar un rescate: ¿Cuáles son los riesgos?

Elegir pagar un rescate durante un ataque conlleva sus propios riesgos para la víctima.

Aumento de las primas de ciberseguros

Las compañías de seguros cibernéticos ahora enfrentan una grave pérdida de ingresos como resultado del pago de ataques de ransomware, algo de lo que eran en gran medida inmunes antes del redescubrimiento del ransomware.

Los operadores ahora están obligando a los clientes a implementar alguna forma de segmentación en su red como una forma de dificultar que el malware se mueva a través de la red. Si los clientes están de acuerdo con esto, sus primas mensuales pueden disminuir, pero las primas de ciberseguros aún han aumentado significativamente en los últimos años.

Ahora lo mejor para la víctima potencial es tomar en serio la ciberseguridad proactiva en lugar de simplemente confiar en el seguro para cubrirla.

Consecuencias legales adversas

El segundo riesgo es el hecho de que muchas bandas de ransomware tienen su sede en países que están en la lista negra del gobierno de EE. UU., la llamada Lista de Sanciones de la OFAC (Oficina de Control de Activos Extranjeros).

Esta es una lista de regímenes dictatoriales extranjeros, narcotraficantes, organizaciones terroristas y traficantes de armas contra quienes Estados Unidos impuso sanciones económicas y comerciales en interés de la seguridad nacional. Es un delito que cualquier persona en los EE. UU. haga negocios con los que están en la lista.

Si una banda de ransomware de un país sancionado tiene como rehén un activo de fabricación con sede en EE. UU. y la organización decide pagar el rescate, la organización corre el riesgo de ser penalmente responsable por hacer negocios con la pandilla.

Elegir lo que parece ser la opción financieramente más barata de pagar un rescate puede exponer fácilmente a la víctima a consecuencias penales y legales adversas no intencionales.

Proteger los activos industriales de la ciberdelincuencia: detener el movimiento lateral este-oeste

El ransomware proviene de alguna parte, y eso es generalmente del lado de TI de la arquitectura cibernética general. Todas las variedades de ransomware comparten un detalle en común: a todas les gusta mover.

Una vez que se secuestra cualquier carga de trabajo, el ransomware buscará puertos abiertos en esa carga de trabajo para usarlos como vector para migrar lateralmente a la siguiente carga de trabajo, y desde allí hacia el lado industrial de la estructura hacia los objetivos previstos.

Si bien la mayoría de las herramientas de seguridad se implementan en el límite norte-sur, evitando la entrada de malware en un centro de datos o en la nube, el ransomware emplea el hecho de que controlar la propagación lateral este-oeste a escala es un problema que aún no se resolvió en gran medida.

La mayoría de las mejores herramientas de seguridad implementadas en el límite norte-sur ofrecen poca protección para violaciones inevitables y la posterior propagación lateral este-oeste dentro de la red confiable.

Zero Trust Segmentation detiene la propagación del ransomware

Zero Trust requiere habilitar la microsegmentación, también llamada segmentación de Zero Trust, de cada carga de trabajo en un entorno informático, a cualquier escala, e implementar un modelo de acceso con privilegios mínimos entre todas ellas.

Esa solución de microsegmentación debe definir cada carga de trabajo como un límite de confianza único y hacerlo sin depender de ningún dispositivo en la red subyacente o en la estructura en la nube para hacerlo. La segmentación de la carga de trabajo debe ser lo más agnóstica posible a todas las demás formas de segmentación.

El modelo de acceso con privilegios mínimos entre todas las cargas de trabajo significa que todos los puertos entre todas las cargas de trabajo se deniegan de forma predeterminada. Rara vez existe una necesidad legítima de cargas de trabajo para SSH o RDP lateralmente entre sí. Todos los sistemas operativos modernos tienen estos puertos habilitados, ya que los administradores los usan para gestionar de forma remota esas cargas de trabajo, pero el acceso casi siempre está restringido a hosts de administración centralizados específicos. Estos puertos deben cerrar en todas partes de forma predeterminada y, a continuación, se pueden definir excepciones para permitir el acceso solo a los hosts administrativos autorizados.

Segmentar cada carga de trabajo de todas las demás cargas de trabajo y cerrar todos los puertos lateralmente entre ellos significa que el ransomware no tiene forma de propagar lateralmente a través de la red de TI y desde allí al lado de las operaciones industriales de la red.

El ransomware puede violar las soluciones de seguridad perimetral, por muy fuertes que sean, y una vez violadas, el ransomware secuestrará la primera carga de trabajo que pueda encontrar. La segmentación de confianza cero puede aislar esa primera carga de trabajo secuestrada, con todos los puertos deshabilitados entre cargas de trabajo y sin vectores disponibles para que el ransomware se adentre en la red.

La segmentación de confianza cero evita que las infracciones se propaguen por toda la infraestructura de TI. Y, a su vez, protege los sistemas industriales ubicados en lo más profundo de la arquitectura central.

La segmentación de confianza cero proporciona visibilidad de los sistemas de infraestructura industrial

Un segundo aspecto de la segmentación de confianza cero es la visibilidad del tráfico entre todos los sistemas implementados tanto en el lado industrial como en el de TI de la red. Las dependencias y comportamientos del tráfico entre sensores y sistemas de control, por ejemplo, deben ser tan claramente visibles como el tráfico entre sistemas en la red de TI, tanto en las instalaciones como en la nube.

Illumio permite una visibilidad completa tanto para:

Cargas de trabajo gestionadas: aquellas en las que se puede implementar un nodo de cumplimiento virtual (VEN) para recopilar directamente la telemetría de la aplicación

Cargas de trabajo no gestionadas: dispositivos en los que no se puede implementar VEN, como dispositivos IoT como controladores, sensores y cámaras IoT implementados dentro de la red central industrial

Illumio permite la visibilidad de los dispositivos IoT mediante la recopilación de telemetría de conmutadores de red y equilibradores de carga a través de protocolos como Netflow, sFlow, IPFIX y Flowlink, con todo el tráfico entre todos estos sistemas mostrado junto con todas las cargas de trabajo gestionadas en el PCE (motor de control de políticas) de Illumio.

La directiva se define en el PCE de la misma manera para las cargas de trabajo gestionadas y no gestionadas, mediante etiquetas para identificar las cargas de trabajo en lugar de por su dirección de red. La política para cargas de trabajo no gestionadas se envía a los conmutadores y se traduce en listas de control de acceso (ACL) que el conmutador puede usar para aplicar la política entre los puertos del conmutador y en iRules. Un equilibrador de carga puede usar esta información para aplicar la política allí.

Illumio elimina los puntos ciegos entre los dispositivos digitales de extremo a extremo. Esto permite implementar una visualización completa de Zero Trust y un modelo de política basado en etiquetas en todo el sistema de control industrial y la estructura de TI.

Obtenga protección contra ransomware para sistemas IIoT con Zero Trust Segmentation

Illumio Zero Trust Segmentation ofrece protección de todos los entornos industriales, controlando toda la propagación lateral entre cargas de trabajo y eliminando los vectores de ataque necesarios para que se propague el ransomware.

Ningún entorno industrial es inmune al ransomware, ya sea grande o pequeño. Los sistemas OT y los sistemas IIoT implementados dentro de la arquitectura industrial no necesitan quedar expuestos a la próxima banda de ransomware oportunista que busca su próximo objetivo.

Illumio puede proteger todo el entorno industrial crítico de IIoT del impacto de un ataque de ransomware, manteniendo a su compañía fuera del periódico del mañana como la última víctima del ransomware.

¿Desea obtener más información sobre cómo contener el ransomware con Zero Trust Segmentation? Visite nuestra página de contención de ransomware .

Temas relacionados

Manufacturing
Seguridad de TI/OT

Artículos relacionados

4 principios básicos para proteger contra el ransomware
Ransomware Containment

4 principios básicos para proteger contra el ransomware

Observar e implementar estos 4 principios básicos lo ayudará a proteger su organización cuando se trata de cómo defender contra el ransomware. Leer más.

Read more
Desmitificación de las técnicas de ransomware mediante ensamblajes .Net: Ensamblados EXE vs. DLL
Ransomware Containment

Desmitificación de las técnicas de ransomware mediante ensamblajes .Net: Ensamblados EXE vs. DLL

Conozca las diferencias clave entre los ensamblados .Net (EXE vs. DLL) y cómo se ejecutan en un código inicial de alto nivel.

Read more
Hive Ransomware: Cómo limitar su picadura con la segmentación de Illumio Zero Trust
Ransomware Containment

Hive Ransomware: Cómo limitar su picadura con la segmentación de Illumio Zero Trust

Obtenga más información sobre el ransomware Hive y cómo Illumio puede ayudar a mitigar el riesgo que representa para su organización.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more