Los ataques cibernéticos han evolucionado dramáticamente en las últimas dos décadas. La ingeniería social, las amenazas internas y la tecnología en la nube han cambiado la forma en que vemos el perímetro de seguridad y, en la mente de muchas personas, ha hecho que el perímetro de seguridad sea irrelevante.
La cadena de asesinato cibernético o Cyber Kill Chain es un modelo de seguridad tradicional que describe un escenario de la vieja escuela: un atacante externo que toma medidas para penetrar en una red y robar tus datos, desglosando los pasos del ataque para ayudar a las organizaciones a prepararse.
Sin embargo, todavía es notablemente exitoso al describir vectores de amenazas y ataques que enfrentan las organizaciones hoy en día.
Veremos aquí qué es la Cyber Kill Chain, cuáles son sus fases y los controles de seguridad que podemos utilizar.
Indice
¿Qué es Cyber Kill Chain?
La cadena de asesinato cibernético (CKC) es un modelo clásico de seguridad cibernética desarrollado por respuesta a incidentes de seguridad informática. El propósito del modelo es comprender mejor las etapas por las que debe pasar un ataque para realizar un ataque, y ayudar a los equipos de seguridad a detener un ataque en cada etapa.
El modelo cyber kill chain describe un ataque de un atacante externo que intenta obtener acceso a datos o activos dentro del perímetro de seguridad. El atacante realiza reconocimiento, intrusión del perímetro de seguridad, explotación de vulnerabilidades, obtención y escalada de privilegios, movimiento lateral para obtener acceso a objetivos más valiosos, intentos de ofuscar su actividad y finalmente extraer datos de la organización.
Desde 2011, se han lanzado varias versiones de la «Cyber Kill Chain». Sin embargo, el modelo Lockheed Martin es el más informativo al enfocarse en el elemento humano y cómo aborda el modelo de cadena de asesinato cibernético.
Hasta la fecha, la gran mayoría de las organizaciones y los profesionales de seguridad han adoptado un enfoque tecnológico para aprovechar los modelos de cyber kill chain, ignorando el lado humano, que en mi opinión, es una negligencia grave. Las organizaciones pierden un recurso tremendo que les permite proteger, detectar y responder mucho mejor a las amenazas cibernéticas relevantes de la actualidad.
La conciencia de seguridad no es más que un control, al igual que el cifrado, las contraseñas, los firewalls, el DLP o el antivirus. Lo que hace que la conciencia de seguridad sea única es que se aplica y gestiona el riesgo humano.
¿Cómo funciona?
Hay varias etapas centrales en la cadena de cyber kill. Van desde el reconocimiento (a menudo la primera etapa en un ataque de malware) hasta el movimiento lateral (moviéndose lateralmente a través de la red para obtener acceso a más datos) y la exfiltración de datos (sacar los datos).
Todos sus vectores de ataque comunes, ya sea phishing o fuerza bruta o la última variedad de malware, desencadenan actividad en la cadena de cyber kill.
Cada etapa está relacionada con un determinado tipo de actividad en un ataque cibernético, independientemente de si se trata de un ataque interno o externo.
El modelo de cyber kill chain describe principalmente una amenaza persistente avanzada (APT), un atacante sofisticado que realiza una campaña de ataque organizado contra una compañía específica.
Fases de Cyber Kill Chain
Cada fase de la cadena de eliminación es una oportunidad para detener un ciberataque en curso: con las herramientas adecuadas para detectar y reconocer el comportamiento de cada etapa, puedes defenderte mejor contra un sistema o una violación de datos.
1. Reconocimiento
En la etapa de reconocimiento, el atacante reúne información sobre la organización objetivo. Pueden usar escáneres automáticos para encontrar vulnerabilidades y puntos débiles que pueden permitir la penetración.
Los atacantes intentarán identificar e investigar los sistemas de seguridad existentes, como firewalls, sistemas de prevención de intrusiones y mecanismos de autenticación.
2. Intrusión
En la etapa de intrusión, los atacantes intentan ingresar al perímetro de seguridad. Los atacantes suelen inyectar malware en un sistema para establecerse.
El malware puede enviarse por correo electrónico de ingeniería social, un sistema o cuenta comprometida, una «puerta abierta» que representa una brecha en la seguridad, como un puerto abierto o un punto final no seguro, o un cómplice interno.
Ejemplos de ataques en la etapa de intrusión:
- Servicios remotos externos.
- Adjuntos de Spearphishing
- Compromiso de la cadena de suministro
3. Explotación
En la etapa de explotación, los atacantes buscan vulnerabilidades adicionales o puntos débiles que pueden explotar dentro de los sistemas de la organización.
Por ejemplo, desde el exterior, el atacante puede no tener acceso a las bases de datos de una organización, pero después de la intrusión, puede ver que una base de datos usa una versión anterior y está expuesta a una vulnerabilidad bien conocida.
Ejemplos de ataques en la etapa de explotación:
- Potencia Shell
- Programa de trabajo local
- Scripting
- Intercambio dinámico de datos
4. Escalada de privilegios
En la etapa de escalada de privilegios, el objetivo del atacante es obtener privilegios para sistemas o cuentas adicionales.
Los atacantes pueden intentar ataques de fuerza bruta, buscar repositorios no seguros de credenciales, monitorizar el tráfico de red sin cifrar para identificar credenciales o cambiar permisos en cuentas comprometidas existentes.
Ejemplos de ataques en la etapa de escalada de privilegios:
- Manipulación de tokens de acceso
- Intercepción de camino
- Ataque de sudo
- Inyección de proceso
5. Movimiento lateral
En la etapa de movimiento lateral, los atacantes se conectan a sistemas adicionales e intentan encontrar los activos más valiosos de la organización.
Los atacantes se mueven lateralmente de un sistema a otro para obtener acceso a cuentas privilegiadas, datos confidenciales o acceso a activos críticos. El movimiento lateral es un esfuerzo coordinado que puede abarcar múltiples cuentas de usuario y sistemas de TI.
Ejemplos de ataques en la etapa de movimiento lateral:
- Secuestro de SSH
- Suplantación de identidad interna
- Webroot compartido
- Administración remota de Windows
6. Ofuscación
En la etapa de ofuscación, el atacante intenta cubrir sus huellas. Pueden intentar eliminar o modificar registros, falsificar marcas de tiempo, alterar los sistemas de seguridad y tomar otras medidas para ocultar etapas anteriores en la cadena de eliminación y hacer que parezca que no se tocaron datos o sistemas confidenciales.
Ejemplos de ataques en la etapa de ofuscación:
- Relleno binario
- Firma de código
- Eliminación de archivos
- Usuarios ocultos
- Proceso de vaciado
7. Denegación de servicio
En la etapa de denegación de servicio (DoS), los atacantes intentan interrumpir las operaciones de una organización. Por lo general, el objetivo es llamar la atención del personal operativo y de seguridad y causar una distracción, lo que permite a los atacantes lograr su objetivo real, que es la exfiltración de datos.
Los DoS se pueden utilizar contra redes y sistemas de producción, incluidos sitios web, servidores de correo electrónico o aplicaciones orientadas al cliente.
Ejemplos de ataques en la etapa DoS:
- Endpoint denegación de servicio
- Red de denegación de servicio
- Secuestro de recursos
- Parada de servicio
- Apagado del sistema
8. Exfiltración
En la etapa de exfiltración, un atacante avanzado finalmente «llega a casa», poniendo sus manos en los datos más confidenciales de la organización.
Los atacantes encontrarán un mecanismo, típicamente algún tipo de túnel de protocolo, para copiar los datos fuera de la organización, para vender los datos confidenciales, usarlos para ataques adicionales (por ejemplo, en el caso de datos personales del cliente o detalles de pago), o distribuirlo abiertamente para dañar la organización.
Ejemplos de ataques en la etapa de exfiltración:
- Datos comprimidos
- Datos encriptados
- Exfiltración sobre protocolo alternativo
- Exfiltración sobre un medio físico.
- Transferencia programada
Controles de seguridad
Se han propuesto cinco métodos que una organización puede usar para detener diferentes etapas de un ataque. Estos son:
- Detectar: determinar los intentos de escanear o penetrar en la organización
- Negar: detener los ataques a medida que ocurren
- Interrumpir: interceptar las comunicaciones de datos realizadas por el atacante e interrumpirlas
- Degradar: crear medidas que limiten la efectividad de un ataque
- Engañar: engañar a un atacante proporcionando información falsa o configurando recursos señuelo
Romper la cadena de asesinatos
Muchas herramientas, productos y procesos de seguridad se centran solo en la fase de infiltración, en un intento de mantener a todos los atacantes fuera. Detener los ataques temprano tiene sentido, ya que también evita las fases posteriores. Sin embargo, es extremadamente raro que cualquier medida de seguridad proteja contra el 100% de los posibles ataques en una fase determinada.
Los buenos equipos de seguridad saben que cuando los controles de seguridad están vigentes en toda la cadena de eliminación, tienen una mejor oportunidad de frustrar un ataque.
En lugar de depender de una sola línea de defensa, generalmente es más efectivo tener muchas capas de seguridad, a menudo llamadas «defensa en profundidad».
Si un atacante logra entrar en una red, pero luego no puede moverse lateralmente a servidores con datos confidenciales, la cadena de interrupción está rota y el ataque se detiene. Del mismo modo, si los atacantes no tienen forma de extraer datos confidenciales, la cadena de interrupción se rompe y el riesgo disminuye.
Para ser verdaderamente efectivo en la identificación de debilidades y minimizar la exposición, la simulación de violación y ataque debe seguir las mismas técnicas utilizadas por los atacantes reales. Eso significa que los ataques deben simularse en todas las fases de la cadena de eliminación.
Los equipos de seguridad a menudo se ven inundados por alertas y «hallazgos» que indican un riesgo potencial. Investigar cada una de estas alertas para identificar el verdadero impacto comercial de cada una de ellas es una tarea insuperable.