Durante Rhebo Industrial Security Assessment, las empresas industriales y los operadores de infraestructuras críticas disponen de una visión totalmente transparente sobre su sistema de control industrial (ICS). Se identifican todos los componentes, conexiones y procesos de comunicación sospechosos. Los resultados permiten a los responsables de la seguridad cibernética eliminar inmediatamente las amenazas y asegurar sus ICS.
Los siguientes ejemplos muestran los resultados característicos de las auditorías de Rhebo y las anomalías identificadas.
Asimismo, exploran las anomalías por errores técnicos que amenazan la productividad de las empresas de fabricación automatizada
Detener la infección por malware
-
Análisis
Rhebo Industrial Protector registró la comunicación múltiple a través de los tipos de protocolo VNC, NetBIOS y SMB. Los protocolos suelen ser utilizados por los dispositivos Windows para la configuración remota y el intercambio de archivos.
Su uso no está muy indicado en las redes industriales.
-
Amenaza para la seguridad
Los protocolos son utilizados a menudo por el malware (por ejemplo, NotPetya y WannaCry). Si los dispositivos afectados tienen acceso directo o indirecto a Internet, el ICS corre el riesgo de verse comprometido o infectado.
Amenazas:
- pérdidas financieras por paradas de producción
- corte de electricidad debido a un apagón
- costes de recuperación y reparación del sistema
Desactivar los puertos inseguros
-
Análisis
Rhebo Industrial Protector identifica con frecuencia la comunicación a través de puertos para los que se conocen vulnerabilidades de seguridad (vulnerabilidades CVE). En algunos casos, esta anomalía se correlaciona con patrones de comunicación sospechosos.
Por ejemplo, en un caso Rhebo Industrial Protector informó de la comunicación a través de un puerto cuestionable utilizado por el servidor WBT de Windows para el protocolo de escritorio remoto (RDP). Durante la comunicación se transmitieron pocos paquetes, lo que no es característico de las conexiones RDP.
-
Amenaza para la seguridad
Los puertos de los que se conocen vulnerabilidades son utilizados regularmente por troyanos y programas maliciosos para comunicarse.
Las características de la comunicación ejemplar (corta duración y cifrada) también respaldan la hipótesis de una comunicación maliciosa y de un compromiso de los componentes de la red.
Amenazas:
- pérdidas financieras por paradas de producción
- corte de electricidad debido a un apagón
- costes de recuperación y reparación del sistema
- pérdida de confianza de los clientes
Mitigar las vulnerabilidades del software
-
Análisis
El análisis identificó algunos dispositivos que se comunicaban mediante software de cuya versión actual en uso se conocen graves vulnerabilidades.
Los puertos utilizados y los patrones de acceso eran especialmente llamativos.
-
Amenaza para la seguridad
Las brechas de seguridad conocidas permiten a los atacantes bloquear el sistema o ejecutar código arbitrario (es decir, malware). Esto supone una grave amenaza para la seguridad del sistema.
Amenazas:
- pérdidas financieras por paradas de producción
- interrupción del suministro debido a un apagón
- costes de recuperación y reparación del sistema
Bloquear los activos no autorizados
-
Análisis
Un dispositivo de la red de control utilizó una dirección IP de reserva asignada de forma independiente.
Esta anomalía suele producirse cuando un dispositivo nuevo no recibe una dirección IP del servidor DHCP autorizado por diversos motivos.
Evidentemente, el dispositivo no es reconocido en la red.
-
Amenaza para la seguridad
Potencialmente, el dispositivo fue colocado con intenciones maliciosas para espiar la red o instalar malware. Además, los dispositivos desconocidos y su comunicación pueden comprometer la funcionalidad del ICS provocando fallos de funcionamiento o interrupciones.
Amenazas:
- pérdidas financieras por robo de información
- pérdidas financieras por tiempo de inactividad
- pérdida de confianza de los clientes
Desactivar las conexiones ocultas a Internet
-
Análisis
Rhebo Industrial Protector registró numerosas solicitudes DNS a servidores en Internet, ubicadas en espacios de direcciones de diferentes CDN (redes de distribución de contenidos).
Los servidores solicitados se encuentran en Internet y no está claro quién los opera.
-
Amenaza para la seguridad
Existe un alto riesgo de que se instale malware o ransomware en la red a través de dichos servidores. Además, los piratas informáticos pueden utilizar este acceso para el espionaje industrial.
Amenazas:
- pérdidas financieras por robo de información
- costes potenciales por tiempo de inactividad
- pérdida de confianza de los clientes