En AGE2, como especialistas en ciberseguridad para empresas, queremos hablaros de la Cyber-kill Chain ¡Sigue leyendo!
Índice de contenidos
La Cyber-Kill Chain
Lo que normalmente los que trabajamos en ciberseguridad denominamos Cyber-kill Chain, es un Framework, publicado por Lockheed Martin, para la identificación y prevención de la actividad cibercriminal. Esto también es muy utilizado en el ámbito militar del que procede nuestro CISO Israel Nadal Vidal.
Cyber-Kill Chain, es un concepto basado en dar un enfoque de estrategia militar a la seguridad de la información de nuestra organización.
Básicamente consiste en preguntarme: ¿Cómo me atacan? En base a esa pregunta definir una estrategia de defensa, que desmonte las intenciones de los cibercriminales, en cada una de sus fases de ataque.
Con esto queremos decir que la mayoría de ciberataques y sobre todo ataques desconocidos, siguen el mismo patrón definido y que, si rompemos la cadena en alguna de sus partes, el ataque como tal nunca llegará al objetivo del mismo.
Los cibercriminales tienen que progresar en todas las fases de la Cyber-Kill Chain para tener éxito en su ataque y nosotros hemos de romper su ataque en una de sus fases, para mitigar el ataque.
Fases de la Cyber-Kill Chain
La Cyber-Kill Chain consta de 7 fases, aunque dependiendo de los sistemas en los que basemos nuestra defensa podrían cambiar un poco, para adaptarlo a lo que realmente defendemos.
Reconocimiento
Los atacantes en esta fase inician una investigación en fuentes abiertas, sobre información que pueda ser de interés para el objetivo, en esta fase pueden obtener muchos más datos de los que podemos llegar a imaginar. Para mitigar esta fase hemos de controlar la información nuestra que esta accesible de forma pública, y sabiendo lo que es accesible sabremos qué datos nuestros manejan los atacantes.
Militarización
Esta fase se produce cuando los atacantes tienen suficiente información sobre su objetivo, y deciden sobre la forma de actuar. En esta fase ya se tienen datos certeros sobre cómo funciona internamente el objetivo y sobre todo las tecnologías que usa.
Entrega
Ya con el método de ataque definido, los atacantes deciden como lo van a llevar a cabo, es decir mediante dispositivos USB, mediante adjuntos de correo, etc.
Explotación
Es la fase en la que produce la ejecución del código malicioso elegido para llevar a cabo con éxito el ataque.
Instalación
En esta fase básicamente los atacantes se instalan en el sistema remoto y logrando persistencia. De esta manera logran tener acceso en cualquier momento al sistema infectado, y a los datos contenidos en este.
Mando y control (C&C)
En esta fase el atacante establece los canales de conexión que le permiten comunicarse y controlar a distancia a su objetivo. Para que esta fase se produzca con éxito, los atacantes suelen usar “covert channels”. Los “covert cannels” son canales de comunicación no diseñados para las comunicaciones, pero por los que se puede establecer una comunicación para realizar acciones sobre el objetivo (ejemplo protocolo DNS).
Acciones sobre el objetivo
Llegados a esta fase los atacantes, buscan moverse por los quipos de la red (pivoting) para buscar nuevos objetivos, intentan ganar el acceso a aplicaciones, etc.
Hay que pensar que, durante un ataque, lo más importante es algo obvio y es que paremos el ataque en las primeras fases, porque en cada fase perdemos más control y será más costoso detenerlo. Hay que tener en cuenta que en cada fase podemos ir perdiendo datos valiosos sobre nuestra organización y nuestro cometido es mitigar el máximo daño posible.
Si tenéis problemas para identificar un ataque en algunas de sus fases, podéis preguntarnos como detectarlo. Realizando ciertas acciones podéis detener un ataque en cualquiera de sus fases.
Para ver más noticas como esta, visita nuestro blog y redes sociales (Twitter y Linkedin). Si quieres conocer mejor quiénes somos y nuestros servicios, contacta con nosotros, te asesoraremos en todo lo que necesites.
