¿Qué es Cyber Security Kill Chain?
En español es conocido como la cadena de exterminio o cadena de muerte en ciberseguridad. El Cyber Kill Chain explica el procedimiento típico que siguen los ciberdelincuentes para completar un ataque cibernético con éxito.
Es posible que haya oído hablar de la frase «cadena de muerte» utilizada en referencia a operaciones militares: cuando se identifica un ataque enemigo, se divide en etapas donde se implementan medidas preventivas. Este es el concepto exacto que inspiró la cadena de seguridad cibernética original.
Se trata de un marco desarrollado por Lockheed Martin en 2011, derivado de los modelos de ataque militares y trasladado al mundo digital para ayudar a los equipos de analistas a comprender, detectar y prevenir las ciberamenazas persistentes. Lockheed Martin definió el marco de la cadena de los ciberataques para identificar las etapas que los adversarios deben completar para lograr su objetivo.
Aunque no todos los ciberataques aplicarán los siete pasos del modelo de la Kill Chain, la mayoría de los ataques los utilizan casi todos, a menudo abarcando del paso 2 al paso 6.
Veamos cuales son las etapas del Cyber Kill Chain:
- Reconocimiento: Como cualquier forma de guerra tradicional, los ciberataques más exitosos comienzan con una gran recopilación de información. El reconocimiento es el primer paso en la cadena de seguridad cibernética y utiliza muchas técnicas, herramientas y funciones de navegación web de uso común diferentes, entre las que se incluyen:
- Los motores de búsqueda
- archivos web
- Servicios de nube pública
- Registros de nombres de dominio
- Comando WHOIS
- Rastreadores de paquetes (Wireshark, tcpdump, WinDump, etc.)
- Mapeo de red (nmap)
- comando EXCAVAR
- Escáneres de puertos (Zenmap, TCP Port Scanner, etc.)
- Armamento: Una vez que un atacante ha recopilado suficiente información sobre su objetivo, elegirá uno o varios vectores de ataque para comenzar la intrusión en su espacio. Un vector de ataque es un medio para que un hacker obtenga acceso no autorizado a sus sistemas e información. Los vectores de ataque varían desde básicos hasta altamente técnicos, pero lo que hay que tener en cuenta es que, para los piratas informáticos, los objetivos a menudo se eligen evaluando el costo frente al retorno de la inversión. Los vectores de ataque más comunes incluyen:
- Credenciales débiles o robadas
- Servicios de acceso remoto (RDP, SSH, VPN)
- Empleados descuidados
- Atacantes internos
- Cifrado deficiente o nulo
- Mala configuración del sistema
- Phishing (ingeniería social)
- Ataques de denegación de servicio
- Ataques de intermediario (MITM)
- Troyanos
- Ataques de inyección SQL
- Entrega: Ahora que el atacante ha obtenido acceso a sus sistemas, tendrá la libertad que necesita para entregar la carga útil de lo que tenga reservado para usted (malware, ransomware, spyware, etc.). Establecerán programas para todo tipo de ataques, ya sean inmediatos, retardados o desencadenados por una determinada acción (ataque con bomba lógica). A veces, estos ataques son un movimiento único y otras veces los atacantes establecerán una conexión remota a su red que se monitorea y administra constantemente.
- Explotación: Una vez que se entrega la carga útil prevista por el atacante, comienza la explotación de un sistema, según el tipo de ataque. Como se mencionó anteriormente, algunos ataques se retrasan y otros dependen de una acción específica realizada por el objetivo, lo que se conoce como bomba lógica. Estos programas a veces incluyen funciones de ofuscación para ocultar su actividad y origen y evitar la detección. Una vez que se activa el programa ejecutable, el hacker podrá comenzar el ataque según lo planeado, lo que nos lleva a los siguientes pasos, que abarcan diferentes tipos de explotaciones.
- instalación: Después de que los ciberdelincuentes han explotado las vulnerabilidades de su objetivo para obtener acceso a una red, comienzan la etapa de instalación de Cyber Kill Chain: intentan instalar malware y otras armas cibernéticas en la red objetivo para tomar el control de sus sistemas y exfiltrar datos valiosos. En este paso, los ciberdelincuentes pueden instalar armas cibernéticas y malware utilizando Troyanos, puertas traseras o interfaces de línea de comandos. Si un atacante ve la oportunidad de realizar futuros ataques, su siguiente paso es instalar una puerta trasera para acceder de forma constante a los sistemas del objetivo. De esta manera, pueden entrar y salir de la red del objetivo sin correr el riesgo de ser detectados al volver a ingresar a través de otros vectores de ataque.
- Mando y control: Ahora que los programas y las puertas traseras están instalados, un atacante tomará el control de los sistemas y ejecutará cualquier ataque que tenga reservado para usted. Cualquier acción que se tome aquí tiene como único fin mantener el control de su situación con el objetivo, que puede adoptar todo tipo de formas, como plantar ransomware, software espía u otros medios para extraer datos en el futuro. Desafortunadamente, una vez que se entera de una intrusión y exfiltración, probablemente sea demasiado tarde: los hackers tienen el control de su sistema. Por eso es importante contar con protección que monitoreen y evalúen los movimientos de datos para detectar cualquier actividad sospechosa.
- Acción sobre Objetivo: Esta es la etapa de ejecución continua en la que un atacante toma medidas sobre su objetivo y puede cifrar sus datos para pedir un rescate, exfiltrar sus datos para obtener ganancias monetarias, desactivar su red mediante denegación de servicio o monitorear el comportamiento de su sistema para detectar otras aperturas a través de software espía. por nombrar sólo algunos resultados potenciales. El espionaje y el monitoreo son acciones principales en este último paso de la cadena de destrucción, donde los atacantes mantienen un perfil bajo y persisten. Aquí es donde el monitoreo en tiempo real del movimiento de datos y la detección de comportamientos sospechosos es crucial porque los atacantes actuarán lo más rápido posible para lograr sus objetivos. Nunca hay suficiente tiempo para reaccionar ante cada posible anomalía dentro de una gran estructura corporativa, por lo que su papel en la prevención debe ser proactivo en lugar de reactivo.
Como ocurre con la mayoría de las cosas en la vida, la prevención es la mejor cura. Cuanto antes pueda una empresa interceptar y detener un ataque, más fácil será la remediación. Por ejemplo, detener un ataque en la fase de mando y control (Fase 6) suele requerir esfuerzos más avanzados, costosos y que requieren más tiempo. Esto puede incluir cualquier cosa, desde reparaciones de máquinas hasta medidas forenses, como barridos de red en profundidad y análisis de puntos finales para determinar qué datos se han perdido y reconstruir la escala general del ataque. Las organizaciones deben intentar identificar y resolver amenazas en las primeras etapas de la cadena de ciberataque para reducir el riesgo para su empresa y minimizar los recursos.