Cadena de muerte cibernética

Proceso de realización de un ciberataque

Cadena de eliminación de intrusiones para la seguridad de la información ^[1]

La cadena de ataque cibernético es el proceso mediante el cual los perpetradores llevan a cabo ciberataques. ^[2] Lockheed Martin adaptó el concepto de la cadena de ataque de un entorno militar a la seguridad de la información , utilizándolo como un método para modelar intrusiones en una red informática . ^[3] El modelo de la cadena de ataque cibernético ha sido adoptado en cierta medida en la comunidad de seguridad de la información. ^[4] Sin embargo, la aceptación no es universal, y los críticos señalan lo que creen que son fallas fundamentales en el modelo. ^[5]

Fases del ataque y contramedidas

En 2011, los informáticos de la corporación Lockheed-Martin describieron un nuevo marco o modelo de "cadena de eliminación de intrusiones" para defender las redes informáticas. ^[6] Escribieron que los ataques pueden ocurrir en fases y pueden ser interrumpidos mediante controles establecidos en cada fase. Desde entonces, las organizaciones de seguridad de datos han adoptado la "cadena de eliminación cibernética" para definir las fases de los ciberataques . ^[7]

Una cadena de ataque cibernético revela las fases de un ciberataque : desde el reconocimiento inicial hasta el objetivo de la exfiltración de datos . ^[8] La cadena de ataque también se puede utilizar como una herramienta de gestión para ayudar a mejorar continuamente la defensa de la red. Según Lockheed Martin, las amenazas deben progresar a través de varias fases en el modelo, que incluyen:

1. Reconocimiento: el intruso selecciona el objetivo, lo investiga e intenta identificar vulnerabilidades en la red objetivo.
2. Uso de armas: el intruso crea un arma de malware de acceso remoto, como un virus o un gusano, adaptado a una o más vulnerabilidades.
3. Entrega: el intruso transmite el arma al objetivo (por ejemplo, a través de archivos adjuntos de correo electrónico, sitios web o unidades USB)
4. Explotación: El código del programa del arma de malware se activa y realiza acciones en la red de destino para explotar la vulnerabilidad.
5. Instalación: el arma de malware instala un punto de acceso (por ejemplo, "puerta trasera") que puede utilizar el intruso.
6. Comando y control: el malware permite que el intruso tenga acceso persistente "con las manos en el teclado" a la red objetivo.
7. Acciones según el objetivo: el intruso toma medidas para lograr sus objetivos, como la exfiltración de datos , la destrucción de datos o el cifrado a cambio de un rescate .

Se pueden tomar cursos de acción defensiva contra estas fases: ^[9]

1. Detectar: ​​determinar si hay un intruso presente.
2. Denegar: Evitar la divulgación de información y el acceso no autorizado.
3. Interrumpir: detener o cambiar el tráfico saliente (hacia el atacante).
4. Degradar: Comando y control de contraataque.
5. Engañar: Interferir con el mando y el control.
6. Contiene: Cambios en la segmentación de la red

Una investigación del Senado de Estados Unidos sobre la filtración de datos de Target Corporation en 2013 incluyó un análisis basado en el marco de trabajo de la cadena de ataque de Lockheed-Martin. Identificó varias etapas en las que los controles no impidieron ni detectaron la progresión del ataque. ^[1]

Alternativas

Diferentes organizaciones han construido sus propias cadenas de eliminación para intentar modelar diferentes amenazas. FireEye propone un modelo lineal similar al de Lockheed-Martin. En la cadena de eliminación de FireEye se enfatiza la persistencia de las amenazas. Este modelo enfatiza que una amenaza no termina después de un ciclo. ^[10]

1. Reconocimiento: esta es la fase inicial en la que el atacante recopila información sobre el sistema o la red objetivo. Esto podría implicar la búsqueda de vulnerabilidades, la investigación de posibles puntos de entrada y la identificación de posibles objetivos dentro de la organización.
2. Intrusión inicial: una vez que el atacante ha reunido suficiente información, intenta vulnerar el sistema o la red de destino. Esto podría implicar explotar vulnerabilidades en el software o los sistemas, utilizar técnicas de ingeniería social para engañar a los usuarios o utilizar otros métodos para obtener acceso inicial.
3. Establecer una puerta trasera: después de obtener el acceso inicial, el atacante suele crear una puerta trasera o un punto de entrada persistente al sistema comprometido. Esto garantiza que, incluso si se descubre y se mitiga la vulneración inicial, el atacante aún puede recuperar el acceso.
4. Obtener credenciales de usuario: si tiene un punto de apoyo en el sistema, el atacante puede intentar robar las credenciales de usuario. Esto puede implicar técnicas como el registro de pulsaciones de teclas, el phishing o la explotación de mecanismos de autenticación débiles.
5. Instalar diversas utilidades: los atacantes pueden instalar diversas herramientas, utilidades o malware en el sistema afectado para facilitar el movimiento, la recopilación o el control de datos. Estas herramientas pueden incluir troyanos de acceso remoto (RAT), registradores de pulsaciones de teclas y otros tipos de software malicioso.
6. Escalada de privilegios/movimiento lateral/exfiltración de datos: una vez dentro del sistema, el atacante busca elevar sus privilegios para obtener más control sobre la red. Puede moverse lateralmente dentro de la red, intentando acceder a sistemas más valiosos o datos confidenciales. La exfiltración de datos implica robar y transmitir información valiosa fuera de la red.
7. Mantener la persistencia: esta etapa enfatiza el objetivo del atacante de mantener una presencia a largo plazo dentro del entorno comprometido. Para lograrlo, deben evadir la detección de forma continua, actualizar sus herramientas y adaptarse a las medidas de seguridad implementadas.

Críticas

Entre las críticas al modelo de cadena de ciberataques de Lockheed Martin como herramienta de evaluación y prevención de amenazas se encuentra que las primeras fases ocurren fuera de la red protegida, lo que dificulta la identificación o defensa contra acciones en estas fases. ^[11] De manera similar, se dice que esta metodología refuerza las estrategias defensivas tradicionales basadas en el perímetro y la prevención de malware. ^[12] Otros han señalado que la cadena de ciberataques tradicional no es adecuada para modelar la amenaza interna. ^[13] Esto es particularmente problemático dada la probabilidad de ataques exitosos que vulneren el perímetro de la red interna, por lo que las organizaciones "necesitan desarrollar una estrategia para lidiar con los atacantes dentro del firewall. Necesitan pensar en cada atacante como un [potencial] atacante interno". ^[14]

Cadena de muerte unificada

La cadena de ataque unificada consta de 18 fases de ataque únicas que pueden ocurrir en ataques cibernéticos avanzados.

La cadena de ataque unificada fue desarrollada en 2017 por Paul Pols en colaboración con Fox-IT y la Universidad de Leiden para superar las críticas comunes contra la cadena de ataque cibernético tradicional, uniendo y extendiendo la cadena de ataque de Lockheed Martin y el marco ATT&CK de MITRE (ambos basados ​​en el modelo "Entrar, Permanecer y Actuar" construido por James Tubberville y Joe Vest). La versión unificada de la cadena de ataque es una disposición ordenada de 18 fases de ataque únicas que pueden ocurrir en un ciberataque de extremo a extremo , que cubre actividades que ocurren fuera y dentro de la red defendida. Como tal, la cadena de ataque unificada mejora las limitaciones de alcance de la cadena de ataque tradicional y la naturaleza agnóstica del tiempo de las tácticas en ATT&CK de MITRE. El modelo unificado se puede utilizar para analizar, comparar y defenderse contra ciberataques de extremo a extremo por amenazas persistentes avanzadas (APT). ^[15] En 2021 se publicó un documento técnico posterior sobre la cadena de eliminación unificada. ^[16]

Referencias

1. "Comité de Comercio, Ciencia y Transporte del Senado de Estados Unidos: Análisis de la "cadena de muerte" de la filtración de datos de Target en 2013, 26 de marzo de 2014" (PDF) . Archivado desde el original (PDF) el 6 de octubre de 2016.
2. Skopik y Pahi 2020, pág. 4.
3. Higgins, Kelly Jackson (12 de enero de 2013). «Cómo la 'cadena de muerte' de Lockheed Martin detuvo el ataque a SecurID». DARKReading . Archivado desde el original el 19 de enero de 2024 . Consultado el 30 de junio de 2016 .
4. Mason, Sean (2 de diciembre de 2014). "Aprovechando la cadena de muertes para lograr algo asombroso". DARKReading . Archivado desde el original el 19 de enero de 2024 . Consultado el 30 de junio de 2016 .
5. Myers, Lysa (4 de octubre de 2013). «La viabilidad del enfoque de la Cyber ​​Kill Chain para la seguridad». CSO Online . Archivado desde el original el 19 de marzo de 2022. Consultado el 30 de junio de 2016 .
6. "Lockheed-Martin Corporation-Hutchins, Cloppert y Amin-Defensa de redes informáticas basada en inteligencia basada en análisis de campañas adversarias y cadenas de eliminación de intrusiones-2011" (PDF) . Archivado (PDF) desde el original el 2021-07-27 . Consultado el 2021-08-26 .
7. Greene, Tim (5 de agosto de 2016). «Por qué la 'cadena de ciberataques' necesita una actualización». Archivado desde el original el 20 de enero de 2023. Consultado el 19 de agosto de 2016 .
8. "La Cyber ​​Kill Chain o cómo aprendí a dejar de preocuparme y a amar las violaciones de datos". 20 de junio de 2016. Archivado desde el original el 18 de septiembre de 2016. Consultado el 19 de agosto de 2016 .
9. John Franco. "Descripción general de la ciberdefensa: patrones de ataque" (PDF) . Archivado (PDF) desde el original el 10 de septiembre de 2018. Consultado el 15 de mayo de 2017 .
10. Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu (febrero de 2019). "Modelo de cadena de ataque cibernético modificado para entornos de servicios multimedia". Herramientas y aplicaciones multimedia . 78 (3): 3153–3170. doi : 10.1007/s11042-018-5897-5 . ISSN  1380-7501.
11. Laliberte, Marc (21 de septiembre de 2016). "Un giro en la cadena de ataques cibernéticos: defensa contra un ataque de malware de JavaScript". DARKReading . Archivado desde el original el 13 de diciembre de 2023.
12. Engel, Giora (18 de noviembre de 2014). «Deconstructing The Cyber ​​Kill Chain». DARKReading . Archivado desde el original el 15 de diciembre de 2023. Consultado el 30 de junio de 2016 .
13. Reidy, Patrick. "Combatiendo la amenaza interna en el FBI" (PDF) . BlackHat USA 2013. Archivado (PDF) del original el 2019-08-15 . Consultado el 2018-10-15 .
14. Devost, Matt (19 de febrero de 2015). «Every Cyber ​​Attacker is an Insider» (Todo atacante cibernético es un infiltrado). OODA Loop . Archivado desde el original el 26 de agosto de 2021. Consultado el 26 de agosto de 2021 .
15. Pols, Paul (7 de diciembre de 2017). "The Unified Kill Chain" (PDF) . Academia de Seguridad Cibernética. Archivado (PDF) del original el 17 de mayo de 2021. Consultado el 17 de mayo de 2021 .
16. Pols, Paul (17 de mayo de 2021). «The Unified Kill Chain». UnifiedKillChain.com. Archivado desde el original el 17 de mayo de 2021. Consultado el 17 de mayo de 2021 .

Lectura adicional

• Skopik, Florian; Pahi, Timea (2020). "Bajo falsa bandera: uso de artefactos técnicos para la atribución de ciberataques". Ciberseguridad . 3 (1): 8. doi : 10.1186/s42400-020-00048-4 . ISSN  2523-3246.