Los Haceres y No Haceres de un Modelo de Cadena de Ciberataque
La ciberseguridad ha dependido durante mucho tiempo de la analogía del “castillo y el foso”. Aunque ha hecho un trabajo relativamente decente protegiendo a las empresas de los ciberataques genéricos, la ciberseguridad ahora exige una evolución.
El panorama de amenazas cibernéticas está en constante cambio, con ciberdelincuentes cada vez más sofisticados con cada minuto.
Además, la integración de modelos de trabajo híbridos que implementan el uso frecuente de almacenamiento en la nube remoto y transmisión de datos no protegida ha debilitado la ciberseguridad.
Es cierto que las organizaciones hacen un trabajo razonablemente decente hoy en día para garantizar la seguridad de los puntos finales; sin embargo, la sofisticación de los ciberataques modernos exige un enfoque más estratificado.
Por lo tanto, es la razón por la cual el modelo de ciberataque de Lockheed Martin ha evolucionado rápidamente para convertirse en una de las soluciones de ciberseguridad más demandadas.
El modelo de seguridad estratificado ayuda a los equipos de seguridad a implementar una ciberseguridad sólida dentro de las organizaciones mediante la construcción de estrategias para identificar y detener los ciberataques.
¿Qué es la Cadena de Ciberataque?
El término “Cadena de Ciberataque” es originalmente un término militar utilizado para describir las diversas etapas en las que un enemigo lanza un ataque sobre su objetivo. En 2011, Martin Lockheed utilizó este término para definir este modelo, que ayudó a esbozar los diversos pasos en los que procede el ciberataque moderno.
Según el modelo, un típico ciberataque moderno ocurre en siete etapas. En teoría, las siete etapas del ataque del modelo pueden ayudar a los equipos de seguridad a comprender mejor el proceso, lo que les permite detectar y detener el ataque en las respectivas etapas.
Cuanto más puntos en los que los equipos de seguridad intercepten a los actores de amenazas dentro de un procedimiento de ataque, mejor oportunidad tendrán estos equipos para proteger, detectar e incluso retrasar un ciberataque.
Si bien han surgido varios otros Modelos de Cadena de Ciberataque después del modelo de Martin Lockheed, todavía supera en valor en contraste con los demás.
La razón es que el modelo Martin Lockheed se centra en el elemento humanístico del ciberataque. Es un elemento crucial a considerar dentro de un mundo donde los ataques de ingeniería social siguen siendo una amenaza constante.
El elemento humanístico dentro de un ciberataque ha enfrentado negligencia desde hace mucho tiempo. A pesar de que los ataques de ingeniería social son uno de los vectores de ataque más comunes para varios APTs, el elemento humanístico enfrenta una negligencia bruta probablemente debido a la visión estándar equivocada de que la ciberseguridad es “centrada en la tecnología”.
Sin embargo, el Modelo Cyber Kill Chain Martin Lockheed se centra en el elemento humanístico y es muy informativo sobre cómo aborda el modelo cyber kill chain.
Comprender e implementar el Modelo Cyber Kill Chain
Hay siete etapas principales del modelo cyber kill chain que deben implementarse adecuadamente para neutralizar, detener o detener un ciberataque lo mejor posible.
Una descripción general descriptiva de los requisitos y funcionamiento de estas etapas son las siguientes:
1. Reconocimiento
El actor amenaza recopila información sobre el objetivo antes del lanzamiento del ataque real. El actor amenaza recopila datos desde plataformas sociales como Facebook, LinkedIn o Instagram.
El atacante también puede recopilar información mediante técnicas sociales como llamar a empleados, llevar a cabo interacciones por correo electrónico o incluso bucear en basureros.
Aunque pueda parecer que los equipos de seguridad pueden hacer poco para prevenir el ataque, el comportamiento del empleado juega un papel crucial en esta etapa.
Si la organización tiene empleados bien informados sobre tácticas sociales y está vigilante sobre la cantidad de información para compartir en plataformas sociales y con clientes, clientes o posibles proveedores. En ese caso, la organización puede detener el ataque.
Además, cualquier organización que siga un protocolo de seguridad para desechar documentos sensibles y garantizar una comunicación segura durante las llamadas telefónicas también puede evitar daños significativamente.
Si bien estas medidas pueden no neutralizar completamente esta etapa, pueden ayudar al equipo de seguridad a aumentar su defensa o frustrar los intentos del actor amenaza en cierta medida.
2. Armamento
Después de recopilar toda la información relevante sobre el objetivo, el atacante procede a crear el ataque. El ataque variaría dependiendo del daño previsto por el ataque.
Podría ser un malware lanzado explícitamente para robar datos, un ataque de ransomware diseñado para obtener dinero, un ataque de compromiso de correo electrónico comercial o incluso un ataque de balleneros.
El ataque puede diseñarse de varias maneras, desde correos electrónicos de phishing hasta unidades USB infectadas y archivos adjuntos maliciosos de Microsoft.
Dependiendo de la conciencia de seguridad y el uso de herramientas de seguridad de puntos finales, el equipo de seguridad puede neutralizar el ataque en esta etapa a menos que el actor amenaza siga un protocolo de prueba en el objetivo para penetrar más allá de tales defensas intermedias.
3. Entrega
Esta etapa describe la transmisión del ataque sobre la víctima prevista, como podría implicar el lanzamiento del correo electrónico phishing o plantar una unidad USB para atraer a la víctima.
Al igual que en la primera etapa, las personas juegan un papel crítico, a pesar de la disponibilidad de varias herramientas para detener los ataques en esta etapa.
La mayoría de los principales vectores de ataque encontrados en varios informes son contraseñas débiles y phishing, que giran en torno a las personas.
Un atacante puede infiltrarse con éxito en un sistema debido a una seguridad vulnerable mediante una táctica social exitosa; por lo tanto, una conciencia adecuada sobre tal vector de ataque puede reducir significativamente este ataque.
Sin embargo, el problema sigue siendo que se toma la tecnología en lugar de las personas como la primera línea de defensa.
4. Explotación
Una vez entregado el ataque, explota las vulnerabilidades presentes dentro del sistema o la red. Si es un ataque ransomware, cifrará sigilosamente todos los datos presentes dentro de los dispositivos en toda la organización y lo mantendrá como rehén para obtener rescate.
Una organización que enfrenta un ataque suele ser una situación de alta alerta. Sin embargo, los equipos de seguridad pueden evitarlo mediante la implementación adecuada de conciencia sobre seguridad a los empleados, produciendo un plan eficaz de respuesta a incidentes, realizando pruebas regulares de penetración y escaneo de vulnerabilidades y garantizando la seguridad del punto final mediante diversas herramientas.
5. Instalación
Esta fase del ataque implica un ataque que explota activamente un sistema o red en ejecución. En esta etapa, el actor amenaza buscaría vulnerabilidades adicionales o la disponibilidad de escalada privilegiada para obtener más acceso al sistema e instalar sigilosamente puertas traseras y troyanos remotos para permitir una fácil ejecución futura.
Dado que estas puertas traseras podrían detectarse, el atacante también podría implementar diversas técnicas ofuscantes para ocultar su presencia y evitar su detección.
Las técnicas podrían incluir:
- Borrado archivos y metadatos.
- Modificación información crítica para hacerla parecer segura e intacta.
- Sobrescribir huellas digitales con marcas temporales falsas.
- Información engañosa.
La defensa en esta etapa implicaría un plan activo de evaluación comprometida, comprensión del ataque y uso de diversas herramientas y técnicas para detectar e iniciar sesión actividad instalada.
6. Comando y control
Ahora que el actor amenaza ha infiltrado la red, se conecta a un servidor externo para establecer un canal comando y control.
Establecer esta conexión permite al actor amenaza tener acceso completo a la red objetivo. Esta etapa es la última mejor oportunidad del equipo de seguridad para sabotear y detener el ciberataque.
Comprender todas las seis etapas del modelo cyber kill chain puede ayudar a los equipos de seguridad a implementar estrategias relevantes y detener el ataque a mitad de camino.
Además, si el atacante lanzó con éxito el ataque, el equipo de seguridad debería tener medidas específicas para tomar medidas y recuperar el control.
Incluso en la séptima etapa, el equipo de seguridad puede proteger a la organización del daño grave al establecer un plan sólido de respuesta a incidentes para detectar la exfiltración de datos y las credenciales comprometidas y llevar a cabo una investigación adecuada y evaluación del daño del incidente.
Conclusiones
La ciberseguridad es un enfoque holístico que requiere una evaluación profunda de los puntos finales de seguridad, vulnerabilidades e infraestructuras de seguridad de red para garantizar una ciberseguridad sólida.
El modelo cyber kill proporciona una visión estratificada de la estrategia del actor cibernético. El modelo permite en cierta medida que los equipos de seguridad jueguen el juego según el libro de jugadas del actor amenaza, lo que les ayuda a comprender mejor los vectores de ataque y construir un sistema defensivo en consecuencia.