Cibercadena asesina

¿Qué es la cadena de muerte cibernética?

La Cyber Kill Chain®, desarrollada por Lockheed Martin, es una lista de etapas de un ciberataque que los actores de la amenaza deben completar para lograr su objetivo. Al identificar la etapa de progreso de un ataque, una organización puede defenderse mejor y detener un incidente cibernético.

Aunque la Cyber Kill Chain se introdujo hace más de una década, muchas organizaciones siguen utilizándola para ayudar a definir sus procesos de ciberseguridad. 

Etapas de la cibercadena asesina

Etapas de la cibercadena asesina

El modelo Cyber Kill Chain es un proceso paso a paso que describe la trayectoria potencial de los ciberataques. La idea es que hay varios puntos durante un ataque en los que las organizaciones tienen la oportunidad de intervenir y detenerlo, siempre que puedan identificar en qué punto del proceso ha avanzado.

1. Reconocimiento

Según el método Cyber Kill Chain, la primera señal de un ciberataque implica que el atacante explora las debilidades y vulnerabilidades de una red. Esta es la etapa en la que los actores de la amenaza utilizan tácticas como el phishing para recopilar información como direcciones de correo electrónico, credenciales de inicio de sesión, aplicaciones y detalles sobre el sistema operativo.

2. Armatización

A continuación, los atacantes crean un vector de ataque basado en sus hallazgos. Por ejemplo, pueden utilizar malware de acceso remoto, virus o gusanos para explotar una vulnerabilidad conocida. También colocan puertas traseras en el sistema para obtener acceso si su punto de entrada original queda bloqueado.

3. Entrega

Este es el punto en el que el atacante lanza su ataque. Los vectores específicos que utilicen dependerán de la información recopilada en las Etapas 1 y 2, así como de los objetivos del ataque. Entonces esperan el momento perfecto para atacar. 

4. Explotación

En la fase de explotación, el atacante ejecuta código malicioso dentro del sistema de la víctima. Podrían atacar un dispositivo específico, enviar un correo electrónico con un enlace malicioso o atacar toda la red a nivel del navegador. 

5. Instalación

en esta fase, el atacante instala malware, ransomware o un virus en el sistema de la víctima. Si esta fase se lleva a cabo con éxito, el entorno estará controlado por quien haya lanzado el ataque.

6. Mando y control (C2)

En este punto, el atacante ha asumido el control remoto completo de un dispositivo o identidad en la red objetivo. Puede ser difícil rastrear a un atacante en esta fase porque se parecerá a cualquier otro usuario, lo que le permitirá moverse lateralmente por la red y establecer más puntos de entrada para futuros ataques. 

7. Acciones sobre el objetivo

Esta fase podría ocurrir inmediatamente, o el atacante podría hacer más reconocimientos para aprender sobre su red antes de volver para organizar un ataque a gran escala. Una organización estará a merced del atacante cuando decida emprender acciones hacia su objetivo, como el cifrado, la exfiltración o la destrucción de datos. 

Cómo utilizar la Cyber Kill Chain

La Cyber Kill Chain puede ayudar a las organizaciones a establecer una estrategia de ciberseguridad para resistir los ataques. Muestra a las organizaciones los distintos niveles de un ataque y dónde puede haber carencias de seguridad.

Como parte del modelo Cyber Kill Chain, las organizaciones deben adoptar tecnologías de seguridad para proteger su red en cada etapa del proceso. Estas soluciones y servicios podrían incluir:

  • Herramientas de detección
  • Medidas preventivas para evitar que usuarios no autorizados obtengan credenciales
  • Cifrado para ocultar los datos que se comparten en la red
  • Herramientas de respuesta y alertas que permiten a las empresas responder a los ataques en tiempo real.
  • Procedimientos para evitar movimientos laterales dentro de la red

La Cyber Kill Chain proporciona a los equipos de ciberseguridad un marco para diseñar su ecosistema de seguridad en función de sus necesidades y vulnerabilidades. 

Evolución de la Cyber Kill Chain

A medida que la tecnología ha evolucionado, también lo han hecho las habilidades y capacidades de los actores de las amenazas. Los ciberataques son cada vez más sofisticados y su recuperación resulta más costosa para las organizaciones. Pero el diseño básico de la Cyber Kill Chain sigue siendo el mismo.

Los expertos en seguridad critican el modelo Cyber Kill Chain por centrarse en la seguridad perimetral. Muchas organizaciones funcionan con sistemas definidos por software para permitir la colaboración y agilizar el intercambio de datos, pero la Cyber Kill Chain no aborda las necesidades de las organizaciones de trabajo remoto o los dispositivos IoT y otros puntos finales que no viven en las redes empresariales. 

Tampoco tiene en cuenta los diversos tipos y técnicas de ataque de los actores de amenazas innovadoras. Los ataques basados en la Web, las amenazas internas y las credenciales comprometidas no se tienen en cuenta en el modelo Cyber Kill Chain. 

Cyber Kill Chain y MITRE ATT&CK® son dos marcos para hacer frente a los ciberataques dirigidos a empresas y otras organizaciones. Mientras que Cyber Kill Chain aborda los procesos de ciberataque con una visión general de alto nivel, MITRE AT T&CK permite a las empresas disponer de información más granular sobre los ciberataques. 

MITRE ATT&CK se diseñó para obtener información sobre ciberamenazas y proporcionar una referencia y un vocabulario estándar para los distintos ciberataques. Se trata de un recurso gratuito y abierto que organiza la información sobre ciberseguridad procedente de toda la Web en un sencillo marco jerárquico. Además, cada nivel del marco ofrece procedimientos detallados a seguir en función de las distintas técnicas de ataque, para que los profesionales de todos los niveles de cualificación puedan proporcionar a sus organizaciones un entorno seguro. 

Por otro lado, la Cyber Kill Chain afirma que los ciberataques tienden a seguir siempre las mismas técnicas y estrategias. Esto no es así, y se descubren nuevos vectores y métodos de ataque a medida que evoluciona la tecnología. MITRE ATT&CK no es una secuencia de tácticas de ataque y defensa; es una amplia base de conocimientos que proporciona a los profesionales de la ciberseguridad información procesable para hacer frente a tipos de ataque específicos de expertos en su campo. 

BlackBerryEl conjunto de soluciones de ciberseguridad de MITRE Cylance consiguió evitar al 100% las emulaciones de los ataques Wizard Spider y Sandworm en una fase muy temprana de la evaluación ATT&CK 2022 de MITRE, antes de que se produjera ningún daño. 

BlackBerry's CylancePROTECT® y CylanceOPTICS® proporcionaron detecciones exhaustivas de técnicas de ataque individuales con un alto nivel de confianza, lo que ayudó a reducir el despilfarro de recursos dedicados a perseguir falsos positivos.