El Cyber Kill Chain (CKC) es parte del modelo Intelligence Driven Defense desarrollado por Lockheed Martin, y tiene como objetivo detectar y prevenir intrusiones cibernéticas, identificando el procedimiento que un ciberdelincuente debe completar para lograr su objetivo.
Conocer en detalle cómo actúan los ciberdelincuentes es clave para prevenir, detectar, detener, interrumpir y recuperarse ante un ciberataque. Así mismo, comprender cuál es el ciclo de vida del ciberataque permite desarrollar e implementar las acciones necesarias para tener mayor seguridad y protección.
El Cyber Kill Chain describe cada uno de los siete pasos que el atacante realiza para obtener acceso a datos o activos dentro del perímetro de seguridad:
- Reconocimiento.
- Preparación.
- Distribución.
- Explotación.
- Instalación.
- Comando y control.
- Acciones sobre los objetivos.
Conocer estos siete pasos del Cyber Kill Chain mejora la visibilidad de un ataque y enriquece la comprensión de las tácticas, técnicas y procedimientos de un ciberdelincuente. Si el ataque se detiene en cualquiera de sus fases se rompería la secuencia del mismo y este quedaría bloqueado. Cada paso depende del anterior, si uno falla, todos fallan.
Cada fase tiene su propio modus operandi y su forma de prevención. Además, cada una ofrece la oportunidad para detener un ciberataque en curso: con las herramientas adecuadas para detectar y reconocer el comportamiento de cada etapa, será más fácil evitar una violación de datos.
Los siete pasos del Cyber Kill Chain
Un ataque es un proceso dirigido con una intención definida: conseguir unos efectos sobre un objetivo; por ejemplo, cifrar los contenidos de una máquina para obligar al usuario a pagar un rescate. Teniendo en cuenta que el ataque es una secuencia de fases, una mitigación en cualquiera de ellas romperá la cadena y por lo tanto, frustrará el ataque.
Además, cada ataque deja una serie de huellas de las que se puede aprender para entender a los ciberatacantes y la forma cómo realizan sus acciones. Esto permitirá diseñar defensas cada vez más efectivas y comprobar si las que se tienen son las más adecuadas.
El Cyber Kill Chain está formado por una secuencia de siete pasos, cada uno de los cuales corresponde a una etapa del ataque:
1. Reconocimiento
Es la fase en la que el ciberdelincuente recopila información sobre su objetivo: busca información pública sobre la empresa, el tipo de tecnología que utiliza, datos relevantes en redes sociales y realiza interacciones por correo electrónico. Con esta información, el atacante valora los métodos de ataque que podrían funcionar y la probabilidad de éxito.
La mejor forma de evitar que el ciberatacante disponga de estos datos, es capacitar en ciberseguridad a todos los empleados, para que tengan consciencia de la importancia de los datos y la privacidad de estos en Internet. La formación constante ayuda a construir una cultura de ciberseguridad que es crucial para que todas las personas en la organización sean responsables y resistentes contra las amenazas cibernéticas.
Adicionalmente, es fundamental revisar e implementar medidas para limitar el acceso a la información, como técnicas de cifrado y restricciones para la información confidencial, entre otras.
2. Preparación
Una vez el ciberdelincuente recopila la información relevante sobre su objetivo, elige uno o varios vectores de ataque para iniciar la intrusión.
Un vector de ataque es un medio para lograr el acceso no autorizado a los sistemas e información. Los vectores de ataque varían desde los más básicos hasta los más técnicos, pero lo que hay que tener en cuenta es que los ciberdelincuentes suelen elegir los objetivos evaluando el coste frente al retorno de la inversión.
Desde la capacidad de procesamiento hasta el tiempo necesario para obtener valor, son factores que los atacantes tienen en cuenta. Los ciberdelincuentes típicos avanzarán fácilmente por la ruta de menor resistencia, por eso es importante considerar todos los puntos de entrada posibles a lo largo de la superficie de ataque (todos los puntos totales en los que se es susceptible de un ataque) y reforzar la seguridad como corresponda.
Una vez que un atacante está dentro, el siguiente movimiento es encontrar distintas formas de moverse lateralmente a través de una red o recursos en la nube y elevar sus privilegios de acceso para, con su ataque, recopilar la información más valiosa y mantenerse oculto durante el mayor tiempo posible.
Para prevenir este tipo de comportamiento, es necesario adoptar principios de «confianza cero» que, una vez aplicados a la arquitectura de seguridad y de la red, solicitan constantemente la reafirmación de la identidad a los usuarios que se mueven de un área a otra dentro de las redes o aplicaciones.
El mejor mecanismo para frenar el ataque en esta fase es estar preparado y consciente sobre la ciberseguridad.
3. Distribución
En este paso se produce la transmisión del ataque, tras la ejecución de una acción por parte de la víctima, como por ejemplo, abrir o descargar un documento o hacer clic en un enlace.
Cada vez más, los ataques se distribuyen a través de la nube; el porcentaje de malware distribuido en la nube frente al distribuido en la web ya es del 68 %. Es esencial ejecutar servicios de escaneo de amenazas en línea en el tráfico web y en la nube, así como llevar un control del estado de todos los dispositivos de endpoint, para garantizar que la empresa no esté infectada con ningún software malicioso.
La mejor medida de prevención es ser conscientes de la existencia de este tipo de ataques y aprender a identificarlos.
4. Explotación
Esta fase implica la «detonación» del ataque, comprometiendo al equipo infectado y a la red que pertenezca. Generalmente, se produce al explotar una vulnerabilidad conocida.
Algunos ataques se programan para más adelante y otros se activan cuando el objetivo ejecuta una acción específica; es lo que se conoce como «bomba lógica». Estos programas a veces incluyen características de ofuscación para ocultar su actividad y origen, con el fin de evitar la detección.
Por consiguiente, es muy importante contar con soluciones de seguridad y tener actualizados todos los sistemas y el antivirus.
5. Instalación
En esta fase el atacante instala el malware, aunque en algunos casos no se requiere instalación, como en el robo de credenciales o en el fraude del CEO.
Si un ciberdelincuente ve la oportunidad de realizar ataques en el futuro, su siguiente movimiento es instalar una puerta trasera para acceder de forma constante a los sistemas del objetivo. De esta manera, puede moverse dentro y fuera de la red del objetivo sin correr el riesgo de que lo detecten al volver a entrar a través de otros vectores de ataque. Este tipo de puertas traseras se pueden establecer a través de rootkits y credenciales débiles y siempre y cuando su comportamiento no presente ninguna señal de alerta para un equipo de seguridad (como tiempos de inicio de sesión inusuales o grandes movimientos de datos), estas intrusiones pueden ser difíciles de detectar.
La arquitectura SASE está unificando defensas de seguridad para recopilar metadatos útiles sobre usuarios, dispositivos, aplicaciones, datos, actividad y otros atributos, para ayudar a investigar y mejorar la detección de anomalías.
La formación y concientización en ciberseguridad serán primordiales para frenar cualquier tipo de ataque en esta fase. Para identificar alguna situación irregular, es necesario aplicar medidas de seguridad como la monitorización del estado de los sistemas con medios propios o a través de seguridad gestionada por terceros.
6. Comando y control
En este punto el atacante toma el control del sistema de su víctima. Desde un servidor central llamado C&C (Command and Control) podrá realizar sus acciones maliciosas como por ejemplo, robar credenciales, tomar capturas de pantalla, apropiarse de documentación confidencial, instalar otros programas y conocer cómo es la red del usuario.
Contar con medidas de control de acceso a la información (2FA) y una conciencia de la privacidad y del valor de los datos, son fundamentales.
7. Acciones sobre los objetivos
En fase final el ciberatacante sustrae los datos e intenta expandir su acción maliciosa a otros objetivos. Esto explica por qué la Cyber Kill Chain es cíclica, ya que se volverían a ejecutar todas y cada una de sus fases para infectar a más víctimas.
Por lo tanto, para poder romper la cadena y evitar que un ataque consiga sus objetivos, es necesario estar comprometido con la ciberseguridad. Una organización que tenga sus empleados formados en ciberseguridad y conscientes de los riesgos y amenazas, mantenga todos sus sistemas y equipos actualizados, utilice las soluciones de seguridad adecuadas, monitorice la actividad de sus comunicaciones y controle el acceso a la información, aumentará su capacidad para detectar y dar respuesta oportuna a los ciberataques.
Aplicar el concepto de Cyber Kill Chain le permitirá a las empresas promover y desarrollar de forma independiente sus conocimientos en el área de la seguridad informática. El aprendizaje continúo basado en el análisis de las amenazas actuales ayuda a la protección contra los ataques cibernéticos.
Si tu empresa no ha desarrollado sus estrategias de ciberseguridad, es el momento de hacerlo.
Contáctanos para asesorarte.
Grupo Atlas de Seguridad, ¡Nos gusta cuidarte!
Fuentes:
https://www.netskope.com/es/security-defined/cyber-security-kill-chain
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html