Las organizaciones aún pueden utilizar las siete etapas originales del Cyber Kill Chain para ayudar a prepararse mejor para los ciberataques existentes y futuros. Pueden utilizar este marco para guiar la elaboración de estrategias de ciberseguridad de una empresa, ya sea identificando fallas en la estrategia actual o confirmando lo que ya está funcionando bien.
A medida que el panorama de los ciberataques continúa evolucionando, las organizaciones deben considerar una estrategia que incorpore un enfoque en capas de las medidas de seguridad administrativas, técnicas y físicas. La metodología de la cadena de muerte cibernética puede ayudar a lograrlo, pero el modelo inicial sólo llega hasta cierto punto.
El modelo de cadena cibernética de Lockheed Martin puede tener sus puntos fuertes, pero algunos consideran que el marco de 2011 está desactualizado o carece de innovación.
Una debilidad clave del modelo tradicional es que está diseñado para detectar y prevenir malware y proteger la seguridad perimetral. Sin embargo, ahora nos enfrentamos a una gran cantidad de amenazas y el ciberdelito se está volviendo cada vez más sofisticado.
Estos son los principales inconvenientes del tradicional Cyber Kill Chain de siete pasos.
- Perfil de detección de ataques limitado: La cadena de destrucción está limitada en términos de los tipos de ataques que pueden detectarse.
- El marco original de Cyber Kill Chain se centra en malware y cargas útiles y, por lo tanto, no considera otros tipos de ataques. Un ejemplo serían los ataques basados en web, incluidos SQL Injective, DoS, Cross Site Scripting (XSS) y ciertos exploits de día cero.
- Además, no tiene en cuenta los ataques realizados por partes no autorizadas que intentan aprovechar las credenciales comprometidas.
La cadena de destrucción no es flexible
No todos los atacantes siguen el manual de la cadena de destrucción cibernética de forma lineal o paso a paso. Pueden omitir, agregar y retroceder etapas. Por ejemplo, los atacantes a veces omiten el paso de Reconocimiento de la cadena de destrucción en el que realizan una investigación exhaustiva sobre su objetivo. La adopción de una técnica de “spray and pray” es un ejemplo de dónde no se necesita el reconocimiento, ya que puede ser más astuto que tus trampas de detección por casualidad.
Si bien cada empresa requiere su propio marco de ciber cadena personalizado, existen otras formas de adaptar el proceso de la cadena de destrucción original con la actualmente conocida Cyber Kill Chain Unified en español Cadena de Muerte Unificada.
Cadena de Muerte Unificada
El concepto de cadena de destrucción unificada combina técnicas de MITRE ATT&CK y el modelo original de cadena de destrucción cibernética. Es considerada como la versión actualizada del Cyber Kill Chain que nos ayuda a comprender de una manera más amplia los ataques modernos.
MITRE ATT&CK es un marco de referencia que contiene las tácticas, técnicas y conocimiento común que emplean los atacantes. Es una guía que clasifica y describe ciberataques e intrusiones.
El Cyber Kill Chain Unified es el resultado de un marco detallado e integrado compuesto por 18 etapas individuales, consiste en las 7 etapas de la cadena original Cyber Kill Chain y se le adicionan las 11 tácticas de Mitre Att&ck.
La Cadena de Muerte Unificada puede agruparse en tres fases principales:
- Punto de apoyo inicial: Comprometer un sistema para obtener acceso a la red.
- Propagación de la red: Obtener acceso adicional dentro de la red.
- Acción sobre objetivos: Lograr el objetivo del ataque.
Estas son las 11 tácticas adicionales que corresponden a Mitre Att&ck:
- Acceso inicial: Técnicas utilizadas por varios vectores de entrada para ganar un punto de apoyo inicial dentro de una red, por ejemplo, el Spear Phishing Link T1192.
- Ejecución: Técnicas que permiten la ejecución de código controlado por un atacante en un sistema local o remoto. Un ejemplo es el PowerShell T1086.
- Persistencia: Técnicas que utilizan los atacantes para mantener la persistencia al acceder a un sistema. Un ejemplo es el script de inicio de sesión T1037.
- Escalada de privilegios: Técnicas que permiten a los atacantes obtener privilegios de alto nivel en un sistema o red. Un ejemplo es el proceso de inyección T1055.
- Evasión de defensa: Técnicas que utilizan los atacantes para evitar ser detectados. Un ejemplo es la carga lateral de DLL T1073.
- Acceso a credenciales: Técnicas que utilizan los atacantes para robar credenciales como nombres de cuentas y contraseñas. Un ejemplo es el Kerberoasting T1208.
- Descubrimiento: Son las técnicas que utilizan los atacantes para obtener conocimiento sobre los sistemas y redes de sus clientes. Un ejemplo es el rastreo de redes T1040.
- Movimiento lateral: Técnicas que utilizan los atacantes para obtener acceso remoto a los sistemas y redes de su host ya comprometido. Por lo general, los atacantes se mueven a través de varias computadoras, comenzando por el eslabón más débil hasta alcanzar su objetivo. Un ejemplo es un Pass the Ticket T1097.
- Recopilación: Técnicas que ayudan a recopilar información relevante para el objetivo del atacante. Un ejemplo es la captura de entrada T1506. Estas son técnicas que los atacantes emplean para comunicarse con los sistemas que tienen bajo su control, lo que a menudo hace que las cosas parezcan tráfico HTTP normal. Un ejemplo es el frente de dominio T1172.
- Exfiltración: Técnicas que utilizan los atacantes para robar datos de la red de sus víctimas. Un ejemplo es el T1002 Datos comprimidos.
- Impacto: Técnicas utilizadas por los atacantes para perturbar o comprometer la integridad de las redes mediante la manipulación de procesos operativos y comerciales. El impacto es la última fase, y es lo que ocurre cuando el atacante ha alcanzado su objetivo.
Este enfoque permite a los equipos de seguridad comparar simultáneamente indicadores de compromiso (IOC) con múltiples fuentes de inteligencia sobre amenazas para responder de manera efectiva a los ataques. Los equipos defensivos y ofensivos no solo pueden utilizar el modelo de cadena de destrucción unificada para analizar, comparar y defenderse contra los ataques sino también para desarrollar controles de seguridad.