Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Por qué la fabricación debe proteger los recursos de IIoT contra el ransomware

Christer Swartz
,
Director de Mercadotecnia de Soluciones
November 22, 2022
23 min. lectura

El ransomware no es una nueva amenaza para la seguridad. Apareció por primera vez en 1989 y se distribuyó a través de disquetes.

Pero ha cobrado una dramática segunda vida como el modelo de negocio criminal moderno ideal: el secuestro de recursos críticos en entornos industriales a cambio de un rescate.

Los teclados son más efectivos que las armas para mantener como rehenes a las infraestructuras industriales. El problema solo va a empeorar antes de que la seguridad de los activos digitales se aborde específicamente como una prioridad de ciberseguridad dentro de los sectores de fabricación e infraestructura crítica.

Un gran número de ataques de ransomware recientes se han dirigido a los sectores manufacturero y de infraestructura crítica, con estos sectores tradicionalmente enfocados en la creación de activos físicos.

Sin embargo, la mayor parte de la industria manufacturera está migrando rápidamente muchas de sus plataformas de cómputo y soluciones de acceso remoto a la nube, exponiendo sus sistemas de control industrial y sensores de fábrica a vectores de ataque provenientes de la nube.

Los ataques de ransomware cuestan millones de fabricación cada año

El sector manufacturero puede considerarse tradicionalmente en gran medida inmune a la delincuencia digital. Pero están equivocados.

21 por ciento de los ataques de ransomware son contra la fabricación, y el sector paga la mayor cantidad de rescate de todas las industrias con un promedio de $2.036 millones en 2021.

Todo lo que se necesita es que un hacker motivado viole el de un fabricante seguridad en la nube herramientas y acceso remoto a controladores o sensores críticos (dispositivos IIoT) desplegados profundamente dentro de un entorno industrial o de fábrica y deshabilitarlos. Esto provoca riesgos físicos muy reales por intrusión digital, obligando a la víctima a elegir entre pagar un rescate o lidiar con las consecuencias de las operaciones incapacitadas.

La mayoría de las víctimas deciden que pagar un rescate es la opción más barata, costando millones a las organizaciones manufactureras.

El ransomware es un objetivo demasiado tentador para el cibercriminal moderno, ya que es una garantía casi segura de ganancia financiera. Ransomware como servicio incluso existe en la web oscura, completa con contratos de soporte y mesas de ayuda para ayudar a los aspirantes a ciberdelincuentes a elegir a su próxima víctima.

Y la implementación de ransomware es a menudo el último paso en la intrusión del ciberdelincuente en un entorno industrial. Primero cazan activos críticos para inhabilitar, exponen la propiedad intelectual y aprenden qué cobertura de seguro de ciberseguridad tiene la víctima prevista para establecer un precio de rescate. Una vez extraída esta información, el paso final es mantener a la infraestructura como rehén a cambio de pagos, que la mayoría de las víctimas optan por pagar. Es el sueño de un ciberdelincuente hecho realidad.

Los ataques de ransomware a la fabricación tienen riesgos en el mundo real

El sector manufacturero se ha percibido durante mucho tiempo como mayoritariamente fuera del alcance de la ciberdelincuencia. Si una cadena industrial de fábricas produce energía, acero, alimentos, o realiza operaciones mineras, por ejemplo, ¿qué tanto riesgo tienen para el cibercrimen?

En realidad, el riesgo de ciberdelincuencia es alto.

En 2015, se informó que una acerería en Alemania experimentó lo que fue reclamó ser el primer ejemplo de daño físico como consecuencia de un ciberataque. Los ciberdelincuentes lograron acceder de forma remota a algunos sistemas críticos de control en la fábrica los cuales estaban conectados a su red de TI, y estos fueron deshabilitados. Esto provocó que los sensores críticos no pudieran monitorear los niveles de calor en la fábrica, lo que provocó que un alto horno se dañara gravemente debido a que estos sensores no lo apagaban automáticamente.

El mundo físico se expuso repentinamente a riesgos puramente digitales, y desde entonces este hecho no ha pasado desapercibido para los ciberdelincuentes.

Pagar rescate: ¿Cuáles son los riesgos?

Elegir pagar un rescate durante un ataque conlleva sus propios riesgos para la víctima.

Aumento de las primas de los seguros cibernéticos

Las compañías de seguros cibernéticos se enfrentan ahora a una grave pérdida de ingresos como resultado de pagar por los ataques de ransomware, algo de lo que eran en gran medida inmunes antes del redescubrimiento del ransomware.

Los operadores ahora están persuadiendo a los clientes a implementar alguna forma de segmentación en su red como una forma de dificultar que el malware se mueva a través de la red. Si los clientes están de acuerdo con esto, sus primas mensuales pueden disminuir, pero las primas de los seguros cibernéticos aún han aumentó significativamente en los últimos años.

Ahora es en el mejor interés financiero de la víctima potencial tomar en serio la ciberseguridad proactiva en lugar de simplemente depender de un seguro para cubrirla.

Consecuencias legales adversas

El segundo riesgo es el hecho de que muchas pandillas de ransomware estén basadas en países que están en la lista negra del gobierno de Estados Unidos, los llamados Lista de sanciones de la OFAC (Oficina de Control de Activos Extranjeros).

Esta es una lista de regímenes dictadores extranjeros, narcotraficantes, organizaciones terroristas y traficantes de armas contra quienes Estados Unidos ha impuesto sanciones económicas y comerciales en interés de la seguridad nacional. Es un delito que cualquier persona en Estados Unidos haga negocios con los que están en la lista.

Si una banda de ransomware de un país sancionado tiene como rehén a un activo de fabricación con sede en Estados Unidos y la organización decide pagar el rescate, la organización corre el riesgo de ser penalmente responsable por hacer negocios con la pandilla.

Elegir lo que parece ser la opción financieramente más barata de pagar un rescate puede exponer fácilmente a la víctima a consecuencias legales adversas y penales no intencionales.

Proteger los activos industriales de la ciberdelincuencia: detener el movimiento lateral este-oeste

El ransomware proviene de alguna parte, y eso es generalmente del lado de TI de la arquitectura cibernética general. Todas las variedades de ransomware comparten un detalle en común: A todos les gusta moverse.

Una vez que se secuestra cualquier carga de trabajo, el ransomware busca puertos abiertos en esa carga de trabajo para usarlos como vector para migrar lateralmente a la siguiente carga de trabajo, y desde allí hacia el lado industrial de la estructura hacia los destinos previstos.

Si bien la mayoría de las herramientas de seguridad se implementan en el límite norte-sur, lo que impide la entrada de malware en un centro de datos o en la nube, el ransomware utiliza el hecho de que controlar la propagación lateral este-oeste a escala es un problema que aún no se ha resuelto en gran medida.

La mayoría de las mejores herramientas de seguridad implementadas en el límite norte-sur ofrecen poca protección para las brechas inevitables y la posterior propagación lateral este-oeste dentro de la red de confianza.

La segmentación de confianza cero detiene la propagación del ransomware

Zero Trust requiere habilitar la microsegmentación, también llamada Segmentación de confianza cero, de cada carga de trabajo en un entorno de cómputo, a cualquier escala, e implementación de un modelo de acceso de privilegios mínimo entre todos ellos.

Esa solución de microsegmentación necesita definir cada carga de trabajo como un límite de confianza único y hacerlo sin depender de ningún dispositivo en la red subyacente o estructura de nube para hacerlo. Segmentación de la carga de trabajo debe ser lo más agnóstico posible a todas las demás formas de segmentación.

El modelo de acceso con privilegios de mínimo privilegio entre todas las cargas de trabajo significa que todos los puertos entre todas las cargas de trabajo se deniegan de forma predeterminada. Rara vez existe una necesidad legítima de cargas de trabajo a SSH o RDP lateralmente entre sí. Todos los sistemas operativos modernos tienen habilitados estos puertos, ya que son utilizados por los administradores para administrar remotamente esas cargas de trabajo, pero el acceso casi siempre está restringido a hosts de administración centralizados específicos. Estos puertos deben apagarse en todas partes de forma predeterminada y, a continuación, se pueden definir excepciones para permitir el acceso únicamente a los hosts administrativos autorizados.

Segmentar cada carga de trabajo de cualquier otra carga de trabajo y cerrar todos los puertos lateralmente entre ellos significa que ransomware no tiene forma de propagarse lateralmente a través de la red de TI y de ahí al lado de operaciones industriales de la red.

El ransomware puede violar las soluciones de seguridad perimetral, por fuertes que sean, y una vez violado, el ransomware secuestrará la primera carga de trabajo que pueda encontrar. La segmentación de confianza cero puede aislar esa primera carga de trabajo secuestrada, con todos los puertos deshabilitados entre cargas de trabajo y sin vectores disponibles para que el ransomware vaya a cualquier parte más profunda de la red.

La segmentación de confianza cero evita que las brechas se propaguen por toda la infraestructura de TI. Y, a su vez, protege los sistemas industriales ubicados más profundamente en la arquitectura central.

La segmentación de confianza cero proporciona visibilidad de los sistemas de infraestructura industrial

Un segundo aspecto de la Segmentación de Confianza Cero es la visibilidad del tráfico entre todos los sistemas implementados tanto en el lado industrial como en el de TI de la red. Las dependencias y comportamientos del tráfico entre sensores y sistemas de control, por ejemplo, deben ser tan claramente visibles como el tráfico entre sistemas en la red de TI tanto en las instalaciones como en la nube.

Illumio permite una visibilidad completa para ambos:

Cargas de trabajo administradas: aquellas en las que se puede implementar un nodo de cumplimiento virtual (VEN) para recopilar directamente telemetría de aplicaciones

Cargas de trabajo no administradas: dispositivos en los que no se puede implementar VEN, como dispositivos IoT como controladores, sensores y cámaras IoT implementadas dentro de la red central industrial

Illumio permite la visibilidad de los dispositivos IoT mediante la recolección de telemetría de conmutadores de red y balanceadores de carga a través de protocolos como Netflow, sFlow, IPFIX y Flowlink, y todo el tráfico entre todos estos sistemas se muestra junto con todas las cargas de trabajo administradas en PCE (Policy Control Engine) de Illumio.

La política se define en el PCE de la misma manera para las cargas de trabajo administradas y no administradas, utilizando etiquetas para identificar las cargas de trabajo en lugar de por su dirección de red. La política para cargas de trabajo no administradas se introduce en los switches y se traduce en listas de control de acceso (ACL) que el switch puede usar para aplicar la política entre los puertos del switch y en iRules. Luego, un equilibrador de carga puede usar esta información para hacer cumplir las políticas allí.

Illumio elimina puntos ciegos entre dispositivos digitales end-to-end. Esto permite implementar una visualización de confianza cero completa y un modelo de políticas basado en etiquetas en todo el sistema de control industrial y la estructura de TI.

Obtenga protección contra ransomware para sistemas IIoT con Segmentación de Confianza Cero

Illumino Zero Trust Segmentation ofrece protección de todos los entornos industriales, controlando toda la propagación lateral entre cargas de trabajo y eliminando los vectores de ataque necesarios para que el ransomware se propague.

Ningún entorno industrial es inmune al ransomware, ya sea grande o pequeño. Los sistemas OT y los sistemas IIoT implementados dentro de la arquitectura industrial no necesitan quedar expuestos a la próxima pandilla de ransomware oportunista que busca su próximo objetivo.

Illumio puede proteger todo el entorno industrial crítico de IIoT del impacto de un ataque de ransomware, manteniendo a su empresa fuera del periódico del mañana como la última víctima del ransomware.

¿Desea obtener más información sobre cómo contener ransomware con Segmentación de confianza cero? Visite nuestro contención de ransomware página.

Temas relacionados

Manufactura
Seguridad de TI/OT

Artículos relacionados

AWS e Illumio: Cómo ayudar a la atención médica a modernizar su respuesta al ransomware
Contención de Ransomware

AWS e Illumio: Cómo ayudar a la atención médica a modernizar su respuesta al ransomware

Únase a Illumio el 21 de septiembre a las 9 AM PST para un seminario web gratuito con Amazon Web Services (AWS).

Leer más
3 pasos para evitar que el ransomware se propague
Contención de Ransomware

3 pasos para evitar que el ransomware se propague

Descubra los pasos para evitar que el ransomware se propague limitando las conexiones, ampliando la visibilidad y mejorando el tiempo de respuesta.

Leer más
Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya
Contención de Ransomware

Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya

Cómo la microsegmentación podría haber reducido la superficie de ataque y mitigar las consecuencias del ataque de Kaseya.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información