Amenazas para la ciberseguridad de los ICS

Anomalías detectadas en las Rhebo Industrial Security Audits

Durante Rhebo Industrial Security Assessment, las empresas industriales y los operadores de infraestructuras críticas disponen de una visión totalmente transparente sobre su sistema de control industrial (ICS). Se identifican todos los componentes, conexiones y procesos de comunicación sospechosos. Los resultados permiten a los responsables de la seguridad cibernética eliminar inmediatamente las amenazas y asegurar sus ICS.

Los siguientes ejemplos muestran los resultados característicos de las auditorías de Rhebo y las anomalías identificadas.

Asimismo, exploran las anomalías por errores técnicos que amenazan la productividad de las empresas de fabricación automatizada

Detener la infección por malware

  • Análisis

    Rhebo Industrial Protector registró la comunicación múltiple a través de los tipos de protocolo VNC, NetBIOS y SMB. Los protocolos suelen ser utilizados por los dispositivos Windows para la configuración remota y el intercambio de archivos.

    Su uso no está muy indicado en las redes industriales.

  • Amenaza para la seguridad

    Los protocolos son utilizados a menudo por el malware (por ejemplo, NotPetya y WannaCry). Si los dispositivos afectados tienen acceso directo o indirecto a Internet, el ICS corre el riesgo de verse comprometido o infectado.

    Amenazas:

    • pérdidas financieras por paradas de producción
    • corte de electricidad debido a un apagón
    • costes de recuperación y reparación del sistema

Desactivar los puertos inseguros

  • Análisis

    Rhebo Industrial Protector identifica con frecuencia la comunicación a través de puertos para los que se conocen vulnerabilidades de seguridad (vulnerabilidades CVE). En algunos casos, esta anomalía se correlaciona con patrones de comunicación sospechosos.

    Por ejemplo, en un caso Rhebo Industrial Protector informó de la comunicación a través de un puerto cuestionable utilizado por el servidor WBT de Windows para el protocolo de escritorio remoto (RDP). Durante la comunicación se transmitieron pocos paquetes, lo que no es característico de las conexiones RDP.

  • Amenaza para la seguridad

    Los puertos de los que se conocen vulnerabilidades son utilizados regularmente por troyanos y programas maliciosos para comunicarse.

    Las características de la comunicación ejemplar (corta duración y cifrada) también respaldan la hipótesis de una comunicación maliciosa y de un compromiso de los componentes de la red.

    Amenazas:

    • pérdidas financieras por paradas de producción
    • corte de electricidad debido a un apagón
    • costes de recuperación y reparación del sistema
    • pérdida de confianza de los clientes

Compruebe las vulnerabilidades de su ICS

Mitigar las vulnerabilidades del software

  • Análisis

    El análisis identificó algunos dispositivos que se comunicaban mediante software de cuya versión actual en uso se conocen graves vulnerabilidades.

    Los puertos utilizados y los patrones de acceso eran especialmente llamativos.

  • Amenaza para la seguridad

    Las brechas de seguridad conocidas permiten a los atacantes bloquear el sistema o ejecutar código arbitrario (es decir, malware). Esto supone una grave amenaza para la seguridad del sistema.

    Amenazas:

    • pérdidas financieras por paradas de producción
    • interrupción del suministro debido a un apagón
    • costes de recuperación y reparación del sistema

Bloquear los activos no autorizados

  • Análisis

    Un dispositivo de la red de control utilizó una dirección IP de reserva asignada de forma independiente.

    Esta anomalía suele producirse cuando un dispositivo nuevo no recibe una dirección IP del servidor DHCP autorizado por diversos motivos.

    Evidentemente, el dispositivo no es reconocido en la red.

  • Amenaza para la seguridad

    Potencialmente, el dispositivo fue colocado con intenciones maliciosas para espiar la red o instalar malware. Además, los dispositivos desconocidos y su comunicación pueden comprometer la funcionalidad del ICS provocando fallos de funcionamiento o interrupciones.

    Amenazas:

    • pérdidas financieras por robo de información
    • pérdidas financieras por tiempo de inactividad
    • pérdida de confianza de los clientes

Desactivar las conexiones ocultas a Internet

  • Análisis

    Rhebo Industrial Protector registró numerosas solicitudes DNS a servidores en Internet, ubicadas en espacios de direcciones de diferentes CDN (redes de distribución de contenidos).

    Los servidores solicitados se encuentran en Internet y no está claro quién los opera.

  • Amenaza para la seguridad

    Existe un alto riesgo de que se instale malware o ransomware en la red a través de dichos servidores. Además, los piratas informáticos pueden utilizar este acceso para el espionaje industrial.

    Amenazas:

    • pérdidas financieras por robo de información
    • costes potenciales por tiempo de inactividad
    • pérdida de confianza de los clientes

Compruebe las vulnerabilidades de su ICS