Agora que os servidores e equipamentos do cliente voltaram a funcionar normalmente, os sistemas de controle e produção, visualização e batelada reiniciaram as atividades e as fábricas estão produzindo bens novamente, chegou a hora de refletir sobre os eventos recentes.
Lembro-me muito bem de como tudo isto começou. As manchetes na Internet anunciavam “Ransomware!, os sistemas das empresas de manufatura estão desligados e a produção está paralisada!” Ninguém quer ler isso uma manhã de verão.
O culpado foi uma peça de malware denominada Nyetya ou NotPetya. Em um primeiro momento, acreditava-se que era um ransomware, mas o NotPetya acabou sendo um vírus limpador com métodos de propagação semelhantes a um worm. A partir de agora, chamaremos de WiperWorm.
As equipes com um plano escolheram as ações cuidadosamente e as executaram com um propósito. Uma resposta eficaz geralmente implicava seguir um processo como o mencionado no Guia de gerenciamento de incidentes de segurança informática (Publicação especial do Instituto Nacional de Padrões e Tecnologia, 800-61).
Em primeiro lugar, avaliar a magnitude do impacto e analisar a causa que permitem seguir os passos corretos para controlar o evento. Mas em muitos casos, isso não era possível.
Para alguns, todo computador Windows conectado à rede do sistema de controle industrial foi afetado pelo WiperWorm NotPetya. Com poucas possibilidades de recuperar os sistemas infectados, o próximo passo lógico era começar a procurar os backups dos sistemas e tentar recuperá-los. Se não existissem backups, todos os sistemas de produção deveriam ser restaurados do zero, um problema caro e demorado.
Para os sortudos, os backups ofereciam uma esperança, mas uma abordagem disciplinada de recuperação ainda implicava garantir que os sistemas recuperados estivessem em redes isoladas para evitar a reinfecção. A rápida ação de excelentes pesquisadores em cibersegurança e engenheiros forneceu informação chave sobre como impedir a reinfecção.
- A correção da vulnerabilidade MS17-010 impediu que os exploits EternalBlue e EternalRomance comprometessem um sistema.
- Desabilitar a wmic.
- A implantação de uma correção de registro que acaba com todos os compartilhamentos administrativos como C$ e ADMIN$ para eliminar um dos vetores de propagação.
No caminho da recuperação, alguns enfrentaram desafios porque alguns dos métodos de propagação do WiperWorm também eram uma funcionalidade chave das aplicações de produção, portanto, desabilitar ou restringir o acesso nem sempre era uma opção viável.
A lição? A medida de prevenção mais eficaz contra um WiperWorm é a aplicação de uma prática de segurança sólida: “o básico”, se você preferir. Existem inúmeros artigos sobre o assunto, mas alguns pontos chave são:
- Fortaleça os sistemas antes de colocá-los em produção.
- Execute com contas de usuários restritas, quando possível.
- Corrija seus sistemas e invista em um antivírus competente ou uma solução de segurança de pontos finais.
Os serviços de suporte chave podem ajudá-lo a implantar essas práticas sólidas de segurança no ambiente do sistema de controle industrial.
Assinatura aos patches validados do Windows
Esses tipos de serviços de assinatura podem oferecer os patches validados mais recentes do Windows para o seu ambiente informático industrial. Por exemplo, validamos os nossos em um ambiente de teste robusto para reduzir o risco de impacto na aplicação. Os patches são disponibilizados ao conectar o seu servidor do Windows Server Update Services (WSUS) ao nosso WSUS administrado na nuvem.
Depois de ter os patches em seu WSUS, pode implantá-los nos sistemas de acordo com o seu programa. Os Serviços de Segurança e Rede também podem ajudá-lo a desenvolver/modificar políticas e procedimentos internos de patches industriais, conforme necessário.
Gestão remota de antivírus e patches
Esse tipo de serviço ajuda a reduzir o risco relacionado com os atrasos na implantação de patches do Windows e definições de antivírus, assim como o risco relacionado com um procedimento de correção inadequado.
Por exemplo, estabelecemos uma conexão remota segura com o seu ambiente de informática industrial para monitorar o estado da infraestrutura e as imagens, enquanto administramos as mudanças no ambiente.
Então, trabalhamos com você para estabelecer um ritmo de atualização de patches e antivírus e procedimentos que testem a funcionalidade das imagens e aplicações antes de retornar à produção.
Gestão remota de backups
Finalmente, esse tipo de serviço ajuda a reduzir os riscos relacionados com a falta de backups ou acesso remoto a suporte para ajudar na rápida recuperação dos serviços. O serviço fornece capacidade robusta de backup para monitorar a integridade e realizar a restauração. Como um exemplo, o nosso pode:
- Implantar um dispositivo de backup no ambiente de informática industrial, configurado para atender aos requisitos de retenção e frequência de backup do sistema.
- Realizar a monitoração remota do estado dos dispositivos e backups.
- Fornecer serviços de recuperação remota sob demanda para recuperar as imagens ao estado conhecido “Bom”.
Na defesa contra um WiperWorm, RansomWare ou qualquer outro surto de malware, a estratégia mais eficaz continua sendo estar preparado!
Implante patches e fortaleça os sistemas para impedir um surto, e se não puder evitá-lo, então assegure-se de estar preparado para recuperar os sistemas críticos da produção a partir de um backup.
Estar preparado poderia representar a diferença entre estar em funcionamento e ter que refazer completamente os sistemas de produção.
Proteja as operações contra ameaças à segurança com nossos serviços de segurança industrial.
Publicado 8 de agosto de 2017