Llevamos desde el 14 de Mayo en que Microsóft publicó «por lo bajini» un parche para WindowsXP y Windows Server 2003 junto a su paquete de parches del segundo martes de cada mes. Siendo sistemas «sin soporte», dejaba a las claras que la amenaza que se frenaba con dicho parche prometía ser muy seria.
Tras Wannacry, que se diseminaba mediante SMB 1.0, esta vulnerabilidad denominada Bluekeep (todavia no conocemos el nombre del primer malware que lo aprovecha) se aprovecha de RDP, propiciando una amenaza con gran capacidad de infección.
Se comenta que sigue habiendo grandes cantidades de equipos infectados con Wannacry, está claro que acabarán sufriendo de bluekeep y tendremos un ejército zombie que alguno conseguirá utilizar para enviar como hordas de DDOS contra otros objetivos. Esto lo digo porque cada vez debemos entender mejor el concepto de ecosistema que la red de redes constituye, que no por tener bien parcheados mis equipos estoy a salvo de los efectos del malware en equipos infectados que se puedan utilizar para atacarme.
Siguiendo un símil médico bastante reciente, la tos ferina es una enfermedad que se puede evitar fácilmente con la vacuna adecuada pero que, en caso de afectar a un paciente, su tratamiento no es con vacunas sino con antibióticos, con mucha menos tasa de éxito y daño grande al paciente.
Creo que algo que las industrias han avanzado bastante en el parcheo. Con este caso, no hay punto de comparación, el famoso parche para el wannacry (MS17-010) estaba disponible 2 meses antes del ataque y no se habló de él hasta el 14 de mayo de 2017. En este caso, desde el día en que apareció ya se estaba hablando de él, buena señal. Si no es tu caso, aquí tienes el link….
En muchas organizaciones ya se empezó a planificar y a hacer un seguimiento del parcheo, a consultar con los fabricantes para descartar impacto en sus sistemas de control… sin duda hemos avanzado.
Ahora bien, ¿estas mejoras aseguran que el malware que explote bluekeep no conseguirá hacer blanco? El riesgo cero no existe y las mejoras indican que el impacto sería menor del que tuvo Wannacry. Ahora bien, ¿podemos estar tranquilos?
Volviendo al concepto de ecosistema…. la propia Microsoft primero, y la NSA después, han reiterado la necesidad de trabajar a nivel de red y a nivel de host
¿Estamos haciendo un seguimiento similar del cierre de los puertos para RDP, especialmente 3389?
¿Estamos evaluando, si necesitamos RDP, de hacerlo por otro puerto?
¿Estamos evaluando la posibilidad de habilitar «Network Level Authentication» en los equipos vulnerables?
Estas preguntas, junto con las del nivel de parcheo, son acciones «de una sola organización».
Pero pensemos en el ecosistema… Si algo de lo que habla el Foro Económico Mundial este año, en que la ciberseguridad sigue siendo una de las preocupaciones principales de directivos y gobernantes, es que tenemos que ir más allá de nuestras propias organizaciones.
Algunas industrias ya están en ello pero lo quiero resaltar… Da igual que seamos una utility, un fabricante, un cliente final, un proveedor de servicios para preguntarnos….
¿nos estamos coordinando con nuestros clientes, proveedores de servicios y tecnólogos para asegurar que las medidas anteriores son posibles técnicamente y nos podemos coordinar?
¿tenemos identificadas todas nuestras conexiones al exterior para identificar si tienen este puerto abierto? Por cierto, aqui alguno tiene la tentación de responder «pero si la vpn no va por el 3389…» y debemos reformular «¿nuestro software de vpn permite el cierre del 3389?»
y hablando de parcheo ¿nos estamos coordinando para asegurarnos que nuestros equipos en las fronteras están parcheados?
Y hablemos de la obsolescencia…. porque seguramente tenemos herramientas que permiten controlar grandes volúmenes de parcheo, dar métricas precisas….excepto para los equipos obsoletos….
y ¿cuántos equipos obsoletos están en fronteras con otras organizaciones?
Es decir… ¿Cuántos equipos tienen difícil reemplazo, no solo porque forman parte de un entorno mayor y su evolución requiere una ingeniería cuyo coste no se justifica dentro del ciclo de vida planificado para esa instalación…sino porque está en una ubicación a la que no se accede fácilmente y es por esto que se mitigó parte de sus riesgos contratando un servicio de soporte remoto?
Y no solamente eso, ¿cuántos equipos obsoletos en cierto momento vieron como forma sencilla de habilitar ese soporte añadiendo una segunda tarjeta de red en PC o servidor y ese proovedor/tecnólogo le puso un simple modem 3G para conectarse a su red? ¿Es posible tener alguna métrica de esos equipos o de su tráfico con el exterior? IMPOSIBLE.
¿Cómo saber entonces si se puede cerrar puertos en esas tarjetas de red o probar si el Network level Authentication funciona? ¿Quién puede saber responder mejor de estas situaciones? Me atrevo a decir que el departamento de MANTENIMIENTO.
Estimados colegas, todavía no ha pasado nada y estamos a tiempo, debemos aprender que estas amenazas, especialmente en las organizaciones industriales, no se gestionan en silos (concepto del documento del Foro Económico Mundial indicado antes y del que me siento orgulloso colaborador), es decir, esto no son solo cosa de IT, no es solo cosa del responsable de ciberseguridad de la línea de negocio, sino de que la ciberseguridad acabe siendo transversal a toda la organización, y requiere coordinación con el resto de empresas de nuestros sectores.
Profesor de la Escuela Profesional de Ciberseguridad Industrial del CCI