Otra oleada de ciberataques golpea a grandes empresas de todo el mundo

AikonCWD

#60 Hay dios mio.... tenéis todas las sedes interconectadas en malla (con VPN imagino) ? Entiendo que no os ha entrado el virus 2000 veces, si no que os ha llegado por mail a un PC y desde ahí a infectado todos los equipos de toda la red, no?

Si es así, espero que al jefe de sistemas de tu empresa lo pongan a la cola del paro. Y por el bien de las futuras empresas, espero que nunca llegue a encontrar trabajo como jefe de sistemas.

En mi curro (que también tenemos sedes), las sedes están conectadas a un nodo principal, pero no están interconectadas entre ellas. Así una posible infección en una sede jamás saltará automáticamente al resto de sedes (topología estrella). Estrella > Malla

1 respuesta
shortyStyle

No querría estar yo en la piel del responsable de seguridad en IT de alguna empresa infectada xDD

#61 De todas formas una topología en malla si tiene una buena seguridad perimetral y en todos los endpoints no debería de ser un problema.
Además, si no me equivoco el "NotPetya" hacía un scan en la propia /24.

1 respuesta
AikonCWD

#62 Claro, depende de como implementes la topologia. En mi caso cada sede tiene su propia red, ejemplo:

  • Sede A: 10.110.0.0/24
  • Sede B: 10.120.0.0/24
  • Sede C: 10.130.0.0/24
  • Sede D: 10.140.0.0/24
  • Sede Central: 10.100.0.0/24

Todas las sedes están físicamente alejadas, por lo que utilizamos túneles IPSec para conectar las sedes con la central. Cualquier sede puede hacer ping a central, pero ninguna sede puede hacer ping a las otras sedes. Si nos entra un gusano que infecta toda la LAN, se infectará la sede en cuestión y cualquier equipo de la central que no esté correctamente configurado (fallo en los permisos principalmente). Si nos ocurre eso hacemos rollback en la central (la central corre bajo vmware) y restauramos los equipos de la sede infectada.

En cambio, si implementas una malla (cualquier sede puede hacer ping a la central y a cualquier otra sede), la infección se te puede propagar entre sedes, convirtiendo una incidencia de 12h en algo más de 5 días xD.

En cualquier caso, la propagación por psexec ocurre cuando la máquina infectada tiene permisos de admin sobre el resto de PC's/Servers de la LAN. Y eso es un fallo de configuración por parte del Sysadmin de la empresa. Una buena política de seguridad en los credenciales hubiese mitigado la propagación a 0.