La cyber kill chain (cadena de ciberataques) es el proceso mediante el cual los perpetradores llevan a cabo ciberataques. [2] Lockheed Martin adaptó el concepto de kill chain (cadena de aniquilación)[N 1] del ámbito militar a la seguridad de la información, utilizándolo como método para modelar intrusiones en una red informática.[3] El modelo de cadena de ataque cibernético ha sido adoptado en parte por la comunidad de seguridad de la información.[4] Sin embargo, la aceptación no es universal y los críticos señalan lo que consideran que son fallas fundamentales en el modelo.[5]
Cadena de ataque contra intrusiones para la seguridad de la información [1]
Fases de ataque y contramedidas
editar
En 2011, los científicos informáticos de la corporación Lockheed-Martin describieron un nuevo marco o modelo de "cadena de eliminación de intrusiones" para defender las redes informáticas.[6] Escribieron que los ataques pueden ocurrir en fases y pueden ser interrumpidos mediante controles establecidos en cada una de ellas. Desde entonces, las organizaciones de seguridad de datos han adoptado la "cadena de ataque cibernético" para definir las fases de los ciberataques.[7]
Una cadena de ataque cibernético revela las fases de un ciberataque: desde el reconocimiento inicial hasta el objetivo de la exfiltración de datos.[8] La cadena de eliminación también se puede utilizar como herramienta de gestión para ayudar a mejorar continuamente la defensa de la red. Según Lockheed Martin, las amenazas deben progresar a través de varias fases en el modelo, entre ellas:
Reconocimiento: el intruso selecciona el objetivo, lo investiga e intenta identificar vulnerabilidades en la red objetivo.
Uso de armas: el intruso crea un arma de malware de acceso remoto, como un virus o un gusano, adaptado a una o más vulnerabilidades.
Entrega: el intruso transmite el arma al objetivo (por ejemplo, mediante archivos adjuntos de correo electrónico, sitios web o unidades USB)
Explotación: El código del programa del arma de malware se activa y realiza acciones en la red de destino para explotar la vulnerabilidad.
Instalación: el arma de malware instala un punto de acceso (por ejemplo, "puerta trasera") que puede utilizar el intruso.
Comando y control: el malware permite que el intruso tenga acceso persistente "con las manos en el teclado" a la red objetivo.
Acciones según el objetivo: el intruso toma medidas para lograr sus objetivos, como la exfiltración de datos, la eliminación de datos o el cifrado para lograr un rescate.
Se pueden tomar medidas defensivas contra estas fases: [9]
Detectar: Determinar si hay un intruso presente.
Denegar: Evitar la divulgación de información y el acceso no autorizado.
Interrumpir: Detener o cambiar el tráfico saliente (hacia el atacante).
Degradar: Comando y control de contraataque.
Engañar: Interferir con el mando y el control.
Contiene: Cambios en la segmentación de la red
Una investigación del Senado de Estados Unidos sobre la filtración de datos de Target Corporation en 2013 incluyó un análisis basado en el marco de la cadena de eliminación de Lockheed-Martin. Se identificó varias etapas en las que los controles no previnieron ni detectaron la progresión del ataque.[10]
Alternativas
editar
Diferentes organizaciones han construido sus propias cadenas de ataque para intentar modelar diferentes amenazas. FireEye propuso un modelo lineal similar al de Lockheed-Martin. En la cadena de eliminación de FireEye se enfatiza la persistencia de las amenazas y que estas no terminan después de un ciclo.[11]
Reconocimiento: esta es la fase inicial donde el atacante recopila información sobre el sistema o red objetivo. Esto podría implicar la búsqueda de vulnerabilidades, la investigación de posibles puntos de entrada y la identificación de posibles objetivos dentro de la organización.
Intrusión inicial: una vez que el atacante ha reunido suficiente información, intenta violar el sistema o red de destino. Esto podría implicar la explotación de vulnerabilidades en software o sistemas, el uso de técnicas de ingeniería social para engañar a los usuarios o el uso de otros métodos para obtener acceso inicial.
Establecer una puerta trasera: después de obtener acceso inicial, el atacante a menudo crea una puerta trasera o un punto de entrada persistente en el sistema comprometido. Esto garantiza que incluso si se descubre y se mitiga la violación inicial, el atacante aún puede recuperar el acceso.
Obtener credenciales de usuario: con un punto de apoyo en el sistema, el atacante puede intentar robar credenciales de usuario. Esto puede implicar técnicas como keylogging, phishing o explotación de mecanismos de autenticación débiles.
Instalar varias utilidades: los atacantes pueden instalar varias herramientas, utilidades o malware en el sistema comprometido para facilitar un mayor movimiento, recopilación de datos o control. Estas herramientas podrían incluir troyanos de acceso remoto (RAT), keyloggers y otros tipos de software malicioso.
Escalada de privilegios / Movimiento lateral / Exfiltración de datos: una vez dentro del sistema, el atacante busca elevar sus privilegios para obtener más control sobre la red. Podrían moverse lateralmente dentro de la red, intentando acceder a sistemas más valiosos o datos confidenciales. La exfiltración de datos implica robar y transmitir información valiosa fuera de la red.
Mantener la persistencia: esta etapa enfatiza el objetivo del atacante de mantener una presencia a largo plazo dentro del entorno comprometido. Lo hacen evadiendo continuamente la detección, actualizando sus herramientas y adaptándose a cualquier medida de seguridad implementada.
Críticas
editar
Entre las críticas al modelo de cadena de ataque cibernético de Lockheed Martin como herramienta de evaluación y prevención de amenazas se encuentra que las primeras fases ocurren fuera de la red defendida, lo que dificulta la identificación o defensa contra acciones en estas fases.[12] De manera similar, se dice que esta metodología refuerza las estrategias defensivas tradicionales basadas en el perímetro y en la prevención de malware.[13] Otros han señalado que la tradicional cadena de ciberataques no es adecuada para modelar la amenaza interna.[14] Esto es particularmente problemático dada la probabilidad de ataques exitosos que vulneren el perímetro interno de la red, por lo que las organizaciones "necesitan desarrollar una estrategia para lidiar con los atacantes dentro del firewall. Deben considerar a cada atacante como un posible infiltrado".[15]
Cadena de eliminación unificada
editar
La cadena de ataque unificada consta de 18 fases de ataque únicas que pueden ocurrir en ataques cibernéticos avanzados.
La cadena de eliminación unificada fue desarrollada en 2017 por Paul Pols en colaboración con Fox-IT y la Universidad de Leiden para superar las críticas comunes contra la cadena de eliminación cibernética tradicional, uniendo y extendiendo la cadena de eliminación de Lockheed Martin y el marco ATT&CK de MITRE Corporation (ambos basados en el modelo "Entrar, permanecer en el sistema y actuar" construido por James Tubberville y Joe Vest). La versión unificada de la cadena de eliminación es una disposición ordenada de 18 fases de ataque únicas que pueden ocurrir en un ciberataque de extremo a extremo, que cubre las actividades que ocurren fuera y dentro de la red defendida. Como tal, la cadena de eliminación unificada mejora las limitaciones de alcance de la cadena de eliminación tradicional y la naturaleza independiente del tiempo de las tácticas en ATT&CK de MITRE. El modelo unificado se puede utilizar para analizar, comparar y defenderse contra ciberataques de extremo a extremo realizados por amenazas persistentes avanzadas (APT).[16] En 2021 se publicó un documento técnico posterior sobre la cadena de eliminación unificada.[17]
Notas
editar
↑El término kill chain es un concepto militar que identifica la estructura de un ataque. Consiste en: Identificación del objetivo, despliegue de fuerzas, inicio del ataque, destrucción del objetivo
Referencias
editar
↑«U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014». Archivado desde el original el 6 de octubre de 2016. Consultado el 15 de julio de 2025.
↑Higgins, Kelly Jackson (12 de enero de 2013). «How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack». DARKReading. Archivado desde el original el 19 de enero de 2024. Consultado el 30 de junio de 2016.
↑Mason, Sean (2 de diciembre de 2014). «Leveraging The Kill Chain For Awesome». DARKReading. Archivado desde el original el 19 de enero de 2024. Consultado el 15 de julio de 2025.
↑Myers, Lysa (4 de octubre de 2013). «The practicality of the Cyber Kill Chain approach to security». CSO Online. Archivado desde el original el 19 de marzo de 2022. Consultado el 15 de julio de 2025.
↑«Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011». Archivado desde el original el 27 de julio de 2021. Consultado el 15 de julio de 2025.
↑Greene, Tim (5 de agosto de 2016). «Why the 'cyber kill chain' needs an upgrade». Archivado desde el original el 20 de enero de 2023. Consultado el 15 de julio de 2025.
↑«The Cyber Kill Chain or: how I learned to stop worrying and love data breaches» (en inglés estadounidense). julio de 2016. Consultado el 16 de julio de 2025.
↑John Franco. «Cyber Defense Overview: Attack Patterns». Archivado desde el original el 10 de septiembre de 2018. Consultado el 15 de julio de 2025.
↑«U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014». Archivado desde el original el 6 de octubre de 2016. Consultado el 16 de julio de 2025.
↑Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu (febrero de 2019). «Modified cyber kill chain model for multimedia service environments». Multimedia Tools and Applications(en inglés)78 (3): 3153-3170. ISSN1380-7501. doi:10.1007/s11042-018-5897-5.
↑Laliberte, Marc (21 de septiembre de 2016). «A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack». DARKReading. Archivado desde el original el 13 de diciembre de 2023. Consultado el 16 de julio de 2025.
↑Engel, Giora (18 de noviembre de 2014). «Deconstructing The Cyber Kill Chain». DARKReading(en inglés). Archivado desde el original el 15 de diciembre de 2023. Consultado el 16 de julio de 2025.
↑Reidy, Patrick. «Combating the Insider Threat at the FBI». BlackHat USA 2013. Archivado desde el original el 15 de agosto de 2019. Consultado el 16 de julio de 2025.
↑Devost, Matt (19 de febrero de 2015). «Every Cyber Attacker is an Insider». OODA Loop. Archivado desde el original el 26 de agosto de 2021. Consultado el 16 de julio de 2025.
↑Pols, Paul (7 de diciembre de 2017). «The Unified Kill Chain». Cyber Security Academy. Archivado desde el original el 17 de mayo de 2021. Consultado el 16 de julio de 2025.
↑Pols, Paul (17 de mayo de 2021). «The Unified Kill Chain». UnifiedKillChain.com. Archivado desde el original el 17 de mayo de 2021. Consultado el 16 de julio de 2025.