Cyber Kill Chain

El interrumpir un ataque en cualquiera de las etapas de la cadena de ataque creará una interrupción completa de la agresión, pero la ejecución efectiva de los objetivos en las etapas en cadena por parte del atacante significa el logro de la vulnerabilidad de nuestros sistemas de Información y Control. De ahí su nombre Kill Chain militar (Find, Fix, Track, Target, Engage and Assess).

Específicamente para el mundo de la seguridad cibernética, Lockheed Martin Corporation, desarrolló una metodología sistemática que llamaron Cyber Kill Chain. Esta toma los principios de la F2T2EA y estudia los ataques cibernéticos, en defensa y ataque, desde una visión militar.

Así, el Cyber Kill Chain ha sido tomado como referencia por muchos fabricantes quienes hacen referencia a las 7 etapas originales o bien agregar una 8, que en mi opinión podría considerar una mejora para variantes de ataque que no se habían considerado.

Fases de Cyber Kill Chain

Cada fase de la cadena de eliminación es una oportunidad para detener un ciberataque en curso: con las herramientas adecuadas para detectar y reconocer el comportamiento de cada etapa, puedes defenderte mejor contra un sistema o una violación de datos.

1.     Reconocimiento

En la etapa de reconocimiento, el atacante reúne información sobre la organización objetivo. Pueden usar escáneres automáticos para encontrar vulnerabilidades y puntos débiles que pueden permitir la penetración.

Los atacantes intentarán identificar e investigar los sistemas de seguridad existentes, como firewalls, sistemas de prevención de intrusiones y mecanismos de autenticación.

2.     Intrusión

En la etapa de intrusión, los atacantes intentan ingresar al perímetro de seguridad. Los atacantes suelen inyectar malware en un sistema para establecerse.

El malware puede enviarse por correo electrónico de ingeniería social, un sistema o cuenta comprometida, una «puerta abierta» que representa una brecha en la seguridad, como un puerto abierto o un punto final no seguro, o un cómplice interno.

Ejemplos de ataques en la etapa de intrusión:

• Servicios remotos externos.
• Adjuntos de Spearphishing
• Compromiso de la cadena de suministro

3.     Explotación

En la etapa de explotación, los atacantes buscan vulnerabilidades adicionales o puntos débiles que pueden explotar dentro de los sistemas de la organización.

Por ejemplo, desde el exterior, el atacante puede no tener acceso a las bases de datos de una organización, pero después de la intrusión, puede ver que una base de datos usa una versión anterior y está expuesta a una vulnerabilidad bien conocida.

Ejemplos de ataques en la etapa de explotación:

• Potencia Shell
• Programa de trabajo local
• Scripting
• Intercambio dinámico de datos

4.     Escalada de privilegios

En la etapa de escalada de privilegios, el objetivo del atacante es obtener privilegios para sistemas o cuentas adicionales.

Los atacantes pueden intentar ataques de fuerza bruta, buscar repositorios no seguros de credenciales, monitorizar el tráfico de red sin cifrar para identificar credenciales o cambiar permisos en cuentas comprometidas existentes.

Ejemplos de ataques en la etapa de escalada de privilegios:

• Manipulación de tokens de acceso
• Intercepción de camino
• Ataque de sudo
• Inyección de proceso

5.     Movimiento lateral

En la etapa de movimiento lateral, los atacantes se conectan a sistemas adicionales e intentan encontrar los activos más valiosos de la organización.

Los atacantes se mueven lateralmente de un sistema a otro para obtener acceso a cuentas privilegiadas, datos confidenciales o acceso a activos críticos. El movimiento lateral es un esfuerzo coordinado que puede abarcar múltiples cuentas de usuario y sistemas de TI.

Ejemplos de ataques en la etapa de movimiento lateral:

• Secuestro de SSH
• Suplantación de identidad interna
• Webroot compartido
• Administración remota de Windows

6.     Ofuscación

En la etapa de ofuscación, el atacante intenta cubrir sus huellas. Pueden intentar eliminar o modificar registros, falsificar marcas de tiempo, alterar los sistemas de seguridad y tomar otras medidas para ocultar etapas anteriores en la cadena de eliminación y hacer que parezca que no se tocaron datos o sistemas confidenciales.

Ejemplos de ataques en la etapa de ofuscación:

• Relleno binario
• Firma de código
• Eliminación de archivos
• Usuarios ocultos
• Proceso de vaciado

7.     Denegación de servicio

En la etapa de denegación de servicio (DoS), los atacantes intentan interrumpir las operaciones de una organización. Por lo general, el objetivo es llamar la atención del personal operativo y de seguridad y causar una distracción, lo que permite a los atacantes lograr su objetivo real, que es la exfiltración de datos.

Los DoS se pueden utilizar contra redes y sistemas de producción, incluidos sitios web, servidores de correo electrónico o aplicaciones orientadas al cliente.

Ejemplos de ataques en la etapa DoS:

• Endpoint denegación de servicio
• Red de denegación de servicio
• Secuestro de recursos
• Parada de servicio
• Apagado del sistema

8.     Exfiltración

En la etapa de exfiltración, un atacante avanzado finalmente «llega a casa», poniendo sus manos en los datos más confidenciales de la organización.

Los atacantes encontrarán un mecanismo, típicamente algún tipo de túnel de protocolo, para copiar los datos fuera de la organización, para vender los datos confidenciales, usarlos para ataques adicionales (por ejemplo, en el caso de datos personales del cliente o detalles de pago), o distribuirlo abiertamente para dañar la organización.

Ejemplos de ataques en la etapa de exfiltración:

• Datos comprimidos
• Datos encriptados
• Exfiltración sobre protocolo alternativo
• Exfiltración sobre un medio físico
• Transferencia programada

Medidas Defensivas contra las fases del Cyber Kill Chain

Se han propuesto seis métodos que una organización puede usar para detener diferentes etapas de un ataque. Estos son:

• Detectar: Mantenga un monitoreo continuo de los elementos de red y aplicaciones para determinar los intentos de escanear o penetrar en la organización
• Negar: Habilite elementos de red que bloqueen las amenazas conocidas y de día cero, haga análisis de trafico en busca de comportamiento fuera de lo normal .hacia o fuera de la red local
• Interrumpir: interceptar las comunicaciones de datos realizadas por el atacante e interrumpirlas, si el evento se sitúa dentro de la red, identifiqué y aislé el elemento comprometido
• Degradar: crear medidas que limiten la efectividad de un ataque, lleve a la práctica configuraciones de seguridad en sistemas operativos y aplicativos (hardening, uso de gestores de identidad, eliminar servicios que no se usen, políticas de acceso de confianza cero, etc.)
• Engañar: engañar a un atacante proporcionando información falsa o configurando recursos señuelo, estos sistemas que puedan recolectar información y alertas sobre los ataques en la red. También ayudan para robustecer las políticas y configuraciones de seguridad