Entendiendo la Cyber Kill Chain
Las intrusiones cibernéticas son la peor pesadilla para muchos de nosotros. Es por eso que muchos profesionales de ciberseguridad ofrecen soluciones únicas para la identificación y prevención de este tipo de intrusiones.
La Cyber Kill Chain es un modelo de defensa, que consiste en una serie de pasos para trazar las etapas de un ciberataque. En este artículo, veremos a profundidad qué es, cuáles son las etapas y la importancia de la Cyber Kill Chain en situaciones de intrusión cibernética.¿Qué es Cyber Kill Chain?
El término kill chain se utilizó por primera vez como un concepto militar que define la estructura de un ataque, el cual cubre las siguientes etapas:
- La identificación del objetivo
- El envío de la fuerza hacia el objetivo
- La decisión y el orden para atacar al objetivo.
- La destrucción del objetivo
Interrumpir la actividad de la kill chain del oponente se emplea como la defensa misma. Inspirado por el concepto completo de la kill chain, Lockheed Martin (una empresa aeroespacial, de seguridad, armas, defensa y tecnologías avanzadas, con sede en los Estados Unidos) creó el término Cyber Kill Chain. Es un marco de ciberseguridad que ofrece un método para hacer frente a las intrusiones en una red informática.
Desde que surgió por primera vez, el modelo de la Cyber Kill Chain ha evolucionado significativamente para anticipar y reconocer las amenazas internas de mejor manera, detectar varias técnicas de ataque como ransomware avanzado e ingeniería social.
La Cyber Kill Chain consta de siete etapas que tienen como objetivo ofrecer una mejor visibilidad de los ataques y, al mismo tiempo, ayudar al analista de ciberseguridad a comprender mejor las tácticas, los procedimientos y las técnicas del adversario. Los siete pasos de la Cyber Kill Chain ilustran las diferentes fases de un ciberataque desde el reconocimiento hasta la exfiltración.
7 pasos de Cyber Kill Chain
La Cyber Kill Chain consta de 7 pasos: reconocimiento, preparación, distribución, explotación, instalación, comando y control, y finalmente, acciones sobre objetivos. A continuación, veremos información detallada sobre cada fase.
- Reconocimiento: En este primer paso, el atacante o intruso elige su objetivo. Luego, se realiza una investigación en profundidad sobre este objetivo para identificar las vulnerabilidades que pueden explotarse.
- Preparación (armamento): Aquí, el intruso crea un arma de malware como un virus, gusano o similar para explotar las vulnerabilidades del objetivo. Dependiendo del objetivo y el propósito del atacante, este malware puede explotar nuevas vulnerabilidades no detectadas (también conocidas como exploits de día cero) o puede centrarse en una combinación de diferentes vulnerabilidades.
- Distribución: Este paso consiste transmitir el arma al objetivo. El intruso o atacante puede emplear diferentes métodos como unidades USB, archivos adjuntos de correo electrónico y sitios web para este propósito.
- Explotación: En este paso, el malware inicia la acción. El código del programa del malware se activa para aprovechar la vulnerabilidad o vulnerabilidades del objetivo.
- Instalación: El malware configura un punto de acceso para el intruso o atacante. Este punto de acceso también se conoce como puerta trasera (backdoor).
- Comando y control: El malware le da acceso al intruso o atacante en la red o sistema.
- Acciones sobre el objetivo: Una vez que el atacante o intruso obtiene acceso persistente, finalmente toma medidas para cumplir su propósito, como el cifrado para obtener un rescate, la exfiltración de datos o incluso la destrucción de datos.
Medidas de seguridad
El conocimiento de la Cyber Kill Chain por parte de los operadores y encargados de la seguridad permite aplicar medidas en este ámbito para proteger los sistemas de control en cada una de las fases de la cadena.
Según la fase y las actividades que se quieran realizar, serán necesarias diferentes herramientas. Otras medidas se corresponden a comportamientos de los propios empleados, que se podrán llevar a cabo fácilmente inculcando una mayor cultura de seguridad en la empresa por medio de formación.
En el próximo artículo veremos más métodos de defensa, herramientas y consejos para poder romper esta Cyber Kill Chain y poder detener ataques en etapas tempranas.