Cyber Kill Chain

Fortalecer paso a paso la seguridad informática corporativa

La cadena Cyber Kill Chain

Para detectar y combatir a tiempo los ataques de Cyber Kill Chain es necesario conocer en detalle las estrategias de los ladrones cibernéticos. Esta es la única manera de tomar las medidas apropiadas. Y aquí es exactamente donde entra en juego Cyber Kill Chain de Lockheed:

Este concepto divide los ataques cibernéticos en un total de siete niveles, que un perpetrador debe alcanzar sucesivamente para poder implementar su plan. Por el contrario, a nivel de defensa es posible bloquear todo el ataque del cibercriminal interrumpiéndolo en un nivel. Sin embargo, es aconsejable construir una defensa de varios niveles, ya que de lo contrario el atacante podría atacar de nuevo a través de uno de los niveles anteriores.

La idea básica del modelo

Cyber Kill Chain de Lockheed se basa en un concepto militar. La atención se centra en las medidas de acción para detectar y defenderse de los ataques. Cyber Kill Chain describe la cadena de ataque. En última instancia, es responsable de eliminar el objetivo desde un punto de vista militar. Con la ayuda de Cyber Kill Chain, los ataques pueden ser divididos en varios niveles y mostrados claramente. El escenario de ataque puede ser dividido en las siguientes fases por Cyber Kill Chain.

Determinar la ubicación del objetivo

  • Observación precisa de la ubicación
  • Persecución del objetivo
  • Sintonizar individualmente las armas con el objetivo
  • Uso concreto de armas contra el objetivo
  • Análisis de los efectos sobre el objetivo atacado en Cyber Kill Chain

Basándose en estas etapas de Cyber Kill Chain, se toma la perspectiva del atacante. En términos concretos, esto significa que para cada nivel individual el atacante tiene que considerar qué herramientas o posibilidades tiene para implementar su plan. En el curso siguiente se trata de la definición de medidas para la defensa contra los ataques.

De la cadena de muerte al modelo de la cadena de Cyber Kill Chain

Originaria en el sector militar, Lockheed decidió establecer la cadena de ataque también a nivel digital. Desde que Cyber Kill Chain original se transfirió al sector de TI, el concepto ampliado también se ha conocido como Cyber Kill Chain por intrusión y » Cyber Kill Chain «.

También en este caso se toma la perspectiva del perpetrador, por así decirlo, y las etapas individuales de los ataques se subdividen en etapas intermedias.

Esto permite que todo el proceso de ataque se mapee en consecuencia. Estos son los siguientes pasos, que se basan en la cadena Cyber Kill Chain del modelo original de Lockheed de los Estados Unidos:

  • Reconocimiento
  • Militarización
  • Entrega
  • Abuso
  • Colocación
  • Mando y control
  • Acciones sobre el objetivo

Los niveles de ataque individuales de la Cadena Cyber Kill en detalle

Para entender este modelo, tiene sentido mirar más de cerca las diferentes perspectivas. Por una parte, esto significa el enfoque de los ciberdelincuentes y, por otra, las medidas preventivas por parte del objetivo en cuestión.

1. Identificación del objetivo (reconocimiento)

Estrategia de ataque:

Un cibercriminal selecciona un objetivo individual y crea un perfil de la víctima. Los datos de contacto del objetivo, como la información de las redes sociales, la dirección de correo electrónico y otros datos de los empleados o de la empresa en cuestión, se investigan específicamente. Esto también incluye detalles sobre la estructura de TI en la empresa.

Estrategia de defensa:

La publicación de los datos de la empresa en Internet debe restringirse considerablemente. Además, se recomienda un análisis detallado de las posibles formas de ataque. Esto incluye, por ejemplo, ataques DDoS en servidores web o de correo. Pero otras formas de ataque también son concebibles. En general, es importante detectar las desviaciones rápidamente.

2. Preparación del ataque (militarización)

Estrategia de ataque:

El autor utiliza herramientas seleccionadas de su repertorio para llevar a cabo un ataque cibernético. En el caso de un ataque de ransomware, estos pueden ser los encryptionstrojans especiales como WannaCry, Petya, Jaff o Locky. Pero también se pueden utilizar otros programas maliciosos. La elección depende del enfoque y objetivo del cibercriminal.

Estrategia de defensa:

Utilizando motores de análisis especiales, es posible localizar los ataques directamente y examinarlos en detalle. Entre otras cosas, también se descubren los posibles efectos generales del malware.

3. Primeros pasos para llevar a cabo el ataque a lo largo de la cadena de cyber kill (entrega)

Estrategia de ataque:

En el siguiente paso, el atacante comienza a ejecutar el ciberataque. El cibercriminal selecciona un medio para su ataque basado en la información previamente recogida. Aquí se puede utilizar un soporte de datos como un CD-ROM o una memoria USB. La comunicación por correo electrónico también es adecuada. Además, las redes sociales son cada vez más importantes como plataforma para espiar datos personales. Los ataques de phishing a través de sitios web maliciosos también son concebibles.

Estrategia de defensa:

Concretamente, los vectores de ataque son monitoreados constantemente. Con un servicio de seguridad de TI como Advanced Threat Protection (ATP), los motores de análisis individuales pueden utilizarse para investigar el ataque cibernético que emana del autor y los efectos concretos sobre el sistema o la red corporativa. El objetivo es descubrir la intención del ataque cibernético. Se saca a la luz la comprensión del enfoque del perpetrador.

4. La detección sistemática de vulnerabilidades de seguridad (explotación)

Estrategia de ataque:

En la búsqueda de brechas de seguridad específicas en el sistema de destino o en la red de destino de la empresa, el autor dirige su estrategia de ataque específicamente hacia el compromiso técnico. Los vectores de incidencia utilizados favorablemente son el resultado, por ejemplo, de la falta de sensibilización de los empleados de una empresa. Esto se refiere a las acciones imprudentes de los empleados, como suele ser el caso, por ejemplo, del fraude del CEO.

Estrategia de defensa:

Las empresas deben centrarse principalmente en vectores de ataque abiertos. Estos pueden tener su origen tanto en la tecnología como en el ámbito personal. Las brechas de seguridad están ancladas, entre otras cosas, en la periferia o en el área de programas y servicios convencionales o relevantes para el sistema. Las pruebas de penetración descubren posibles vulnerabilidades. Además, las propias personas siguen representando un riesgo flagrante para la seguridad.

5. Implementación de una puerta trasera (instalación)

Estrategia de ataque:

Sin el conocimiento del usuario afectado, el programa malicioso se implementa en el sistema de destino. Esto puede hacerse, por ejemplo, infiltrándose en el sistema o en todo el nivel de la red. Como por ejemplo, instalando de un troyano.

Estrategia de defensa:

La defensa contra los ataques consiste en impedir la adopción de posibles medidas por parte del autor. Esto se puede hacer por parte de la empresa mediante la emisión de los certificados correspondientes, el establecimiento de directrices individuales y la comprobación de las firmas actuales en los escáneres de virus ordinarios.

6. Control a distancia del sistema de destino (C&C)

Estrategia de ataque:

Para realizar un ataque de este tipo de forma selectiva, un vector de incidencia desprotegido es completamente suficiente. Un ejemplo es el Protocolo de Escritorio Remoto, que puede ser explotado como un punto débil para el acceso remoto bajo ciertas circunstancias.

Estrategia de defensa:

A partir del análisis de los vectores de ataque utilizados por el malware, se pueden derivar las correspondientes recomendaciones de acción para las empresas. El objetivo principal en este caso es detectar cualquier laguna de seguridad que pueda existir. Esto incluye, por ejemplo, puertos abiertos que son potencialmente peligrosos y a través de los cuales el perpetrador puede acceder a los sistemas. Puede ocurrir tanto a nivel de cliente como de servidor.

7. Consecución de los objetivos (acciones sobre la víctima)

Estrategia de ataque:

Una vez que el hacker tiene acceso al sistema objetivo, las acciones de ataque se concretan esencialmente. Van desde el espionaje y el sabotaje hasta el robo de datos. La intención del cibercriminal es penetrar cada vez más profundamente en el sistema. Lo que se quiere decir aquí es la infiltración sucesiva del objetivo con el fin de poner fin al ataque.

Estrategia de defensa:

En el peor de los casos, debe definirse claramente qué pasos individuales deben darse. Las responsabilidades deben estar claramente definidas de antemano. Esto se aplica tanto a las responsabilidades personales en la empresa como a los procesos técnicos, como los análisis que deben llevarse a cabo. Sólo así se podrán evitar daños de gran envergadura.

¿Cúan útil es Cyber Kill Chain?

La sofisticación de los autores aumenta constantemente. Esto se aplica en particular a los ciberataques basados en el fraude del ceo, el spear phishing o whaling. Pero otras formas avanzadas y persistentes de amenaza también proporcionan una situación de ataque que no debe subestimarse para las empresas de la industria y el comercio, y ocasionalmente también para instituciones como las instituciones públicas.

Esto es particularmente cierto, ya que tales ataques generalmente no se detectan durante un período de tiempo muy largo. El hacker puede actuar libremente dentro de este período de tiempo.

Las Amenazas Persistentes Avanzadas (APT) son extremadamente complejas y al mismo tiempo son tipos de ataques altamente innovadores. También en este caso se utiliza en la mayoría de los casos el modelo de la cadena de asesinatos cibernéticos. En este área, también se permite el análisis paso a paso y el reconocimiento de estructuras de ataque que son difíciles de identificar.

Aplicando el concepto de Cyber Kill Chain, las empresas pueden promover y desarrollar de forma independiente sus conocimientos en el área de la seguridad informática. El aprendizaje continúo basado en el análisis de las amenazas actuales te ayuda a protegerte contra los ataques cibernéticos.

Crítica a la idea básica de la cadena de asesinatos

Debido a las innovaciones tecnológicas constantemente observables, la estructura de los ciberataques ha cambiado radicalmente. Esto se aplica en particular a las Amenazas Persistentes Avanzadas (APT) ya mencionadas, que dificultan considerablemente la aplicación de una estrategia de defensa adecuada.

En los casos en que se aplica el concepto de la Cyber Kill Chain, este problema debe ser particularmente enfatizado. Este modelo tiene una estructura muy estática. Por esta razón, Cyber Kill Chain ha sido criticada en el pasado.

Hornrsecurity, te muestra lo útil que es la cadena Cyber Kill Chain.

Una mirada más de cerca revela que estas son dudas legítimas. Incluso si este modelo toma el punto de vista del atacante, hay obstáculos significativos que superar en el propio modelo. Aunque en cada nivel no sólo la estrategia de ataque sino también la estrategia de defensa se considera y coordina en consecuencia, es un reto definir las contramedidas apropiadas para el caso de la defensa, especialmente con respecto a las dos primeras etapas de Cyber Kill Chain.

Identificar el objetivo al que se dirige el ciberdelincuente es también un reto debido a la variedad y complejidad de los ataques cibernéticos. Esto también se nota en el segundo nivel del concepto porque es virtualmente imposible hacer coincidir las propias medidas preventivas con la estrategia del atacante -especialmente con los preparativos individuales del perpetrador- con el modelo Cyber Kill Chain. Y aunque este enfoque pretende estar siempre un paso adelantarse del atacante, sólo es posible hasta cierto punto en la práctica.

Para mantener y aplicar el proceso de Cyber Kill Chain, es aconsejable mantener muy abstracta la definición de la estrategia de defensa de las dos primeras etapas. El reto final es encontrar una forma adecuada de para abordar cualquier laguna en la definición del modelo de la Cadena Cyber Kill.