Cyber kill chain

La cyber kill chain (cadena de ciberataques) es el proceso mediante el cual los perpetradores llevan a cabo ciberataques.^[2] Lockheed Martin adaptó el concepto de kill chain (cadena de aniquilación)^{[N 1]} del ámbito militar a la seguridad de la información, utilizándolo como método para modelar intrusiones en una red informática.^[3] El modelo de cadena de ataque cibernético ha sido adoptado en parte por la comunidad de seguridad de la información.^[4] Sin embargo, la aceptación no es universal y los críticos señalan lo que consideran que son fallas fundamentales en el modelo.^[5]

Cadena de ataque contra intrusiones para la seguridad de la información^[1]

Fases de ataque y contramedidas

En 2011, los científicos informáticos de la corporación Lockheed-Martin describieron un nuevo marco o modelo de "cadena de eliminación de intrusiones" para defender las redes informáticas.^[6] Escribieron que los ataques pueden ocurrir en fases y pueden ser interrumpidos mediante controles establecidos en cada una de ellas. Desde entonces, las organizaciones de seguridad de datos han adoptado la "cadena de ataque cibernético" para definir las fases de los ciberataques.^[7]

Una cadena de ataque cibernético revela las fases de un ciberataque: desde el reconocimiento inicial hasta el objetivo de la exfiltración de datos.^[8] La cadena de eliminación también se puede utilizar como herramienta de gestión para ayudar a mejorar continuamente la defensa de la red. Según Lockheed Martin, las amenazas deben progresar a través de varias fases en el modelo, entre ellas:

1. Reconocimiento: el intruso selecciona el objetivo, lo investiga e intenta identificar vulnerabilidades en la red objetivo.
2. Uso de armas: el intruso crea un arma de malware de acceso remoto, como un virus o un gusano, adaptado a una o más vulnerabilidades.
3. Entrega: el intruso transmite el arma al objetivo (por ejemplo, mediante archivos adjuntos de correo electrónico, sitios web o unidades USB).
4. Explotación: El código del programa del arma de malware se activa y realiza acciones en la red de destino para explotar la vulnerabilidad.
5. Instalación: el arma de malware instala un punto de acceso (por ejemplo, "puerta trasera") que puede utilizar el intruso.
6. Comando y control: el malware permite que el intruso tenga acceso persistente "con las manos en el teclado" a la red objetivo.
7. Acciones según el objetivo: el intruso toma medidas para lograr sus objetivos, como la exfiltración de datos, la eliminación de datos o el cifrado para lograr un rescate.

Se pueden tomar medidas defensivas contra estas fases:^[9]

• Detectar: Determinar si hay un intruso presente.
• Denegar: Evitar la divulgación de información y el acceso no autorizado.
• Interrumpir: Detener o cambiar el tráfico saliente (hacia el atacante).
• Degradar: Comando y control de contraataque.
• Engañar: Interferir con el mando y el control.
• Contiene: Cambios en la segmentación de la red

Una investigación del Senado de Estados Unidos sobre la filtración de datos de Target Corporation en 2013 incluyó un análisis basado en el marco de la cadena de eliminación de Lockheed-Martin. Se identificó varias etapas en las que los controles no previnieron ni detectaron la progresión del ataque.^[10]

Alternativas

Diferentes organizaciones han construido sus propias cadenas de ataque para intentar modelar diferentes amenazas. FireEye propuso un modelo lineal similar al de Lockheed-Martin. En la cadena de eliminación de FireEye se enfatiza la persistencia de las amenazas y que estas no terminan después de un ciclo.^[11]

• Reconocimiento: esta es la fase inicial donde el atacante recopila información sobre el sistema o red objetivo. Esto podría implicar la búsqueda de vulnerabilidades, la investigación de posibles puntos de entrada y la identificación de posibles objetivos dentro de la organización.
• Intrusión inicial: una vez que el atacante ha reunido suficiente información, intenta violar el sistema o red de destino. Esto podría implicar la explotación de vulnerabilidades en software o sistemas, el uso de técnicas de ingeniería social para engañar a los usuarios o el uso de otros métodos para obtener acceso inicial.
• Establecer una puerta trasera: después de obtener acceso inicial, el atacante a menudo crea una puerta trasera o un punto de entrada persistente en el sistema comprometido. Esto garantiza que incluso si se descubre y se mitiga la violación inicial, el atacante aún puede recuperar el acceso.
• Obtener credenciales de usuario: con un punto de apoyo en el sistema, el atacante puede intentar robar credenciales de usuario. Esto puede implicar técnicas como keylogging, phishing o explotación de mecanismos de autenticación débiles.
• Instalar varias utilidades: los atacantes pueden instalar varias herramientas, utilidades o malware en el sistema comprometido para facilitar un mayor movimiento, recopilación de datos o control. Estas herramientas podrían incluir troyanos de acceso remoto (RAT), keyloggers y otros tipos de software malicioso.
• Escalada de privilegios / Movimiento lateral / Exfiltración de datos: una vez dentro del sistema, el atacante busca elevar sus privilegios para obtener más control sobre la red. Podrían moverse lateralmente dentro de la red, intentando acceder a sistemas más valiosos o datos confidenciales. La exfiltración de datos implica robar y transmitir información valiosa fuera de la red.
• Mantener la persistencia: esta etapa enfatiza el objetivo del atacante de mantener una presencia a largo plazo dentro del entorno comprometido. Lo hacen evadiendo continuamente la detección, actualizando sus herramientas y adaptándose a cualquier medida de seguridad implementada.

Críticas

Entre las críticas al modelo de cadena de ataque cibernético de Lockheed Martin como herramienta de evaluación y prevención de amenazas se encuentra que las primeras fases ocurren fuera de la red defendida, lo que dificulta la identificación o defensa contra acciones en estas fases.^[12] De manera similar, se dice que esta metodología refuerza las estrategias defensivas tradicionales basadas en el perímetro y en la prevención de malware.^[13] Otros han señalado que la tradicional cadena de ciberataques no es adecuada para modelar la amenaza interna.^[14] Esto es particularmente problemático dada la probabilidad de ataques exitosos que vulneren el perímetro interno de la red, por lo que las organizaciones "necesitan desarrollar una estrategia para lidiar con los atacantes dentro del firewall. Deben considerar a cada atacante como un posible infiltrado".^[15]

Cadena de eliminación unificada

La cadena de ataque unificada consta de 18 fases de ataque únicas que pueden ocurrir en ataques cibernéticos avanzados.

La cadena de eliminación unificada fue desarrollada en 2017 por Paul Pols en colaboración con Fox-IT y la Universidad de Leiden para superar las críticas comunes contra la cadena de eliminación cibernética tradicional, uniendo y extendiendo la cadena de eliminación de Lockheed Martin y el marco ATT&CK de MITRE Corporation (ambos basados en el modelo "Entrar, permanecer en el sistema y actuar" construido por James Tubberville y Joe Vest). La versión unificada de la cadena de eliminación es una disposición ordenada de 18 fases de ataque únicas que pueden ocurrir en un ciberataque de extremo a extremo, que cubre las actividades que ocurren fuera y dentro de la red defendida. Como tal, la cadena de eliminación unificada mejora las limitaciones de alcance de la cadena de eliminación tradicional y la naturaleza independiente del tiempo de las tácticas en ATT&CK de MITRE. El modelo unificado se puede utilizar para analizar, comparar y defenderse contra ciberataques de extremo a extremo realizados por amenazas persistentes avanzadas (APT).^[16] En 2021 se publicó un documento técnico posterior sobre la cadena de eliminación unificada.^[17]

Notas

1. El término kill chain es un concepto militar que identifica la estructura de un ataque. Consiste en: Identificación del objetivo, despliegue de fuerzas, inicio del ataque, destrucción del objetivo