Tabla de contenidos
- ¿Qué es una Cyber Kill Chain?
- ¿Cómo funciona la Cyber Kill Chain?
- Controles de seguridad
- ¿Cómo puede Cyber Kill Chain protegerse contra los ataques?
La ciberseguridad es uno de los principales problemas con los que las organizaciones luchan todos los días. De hecho, según Accenture, el 68% de los líderes empresariales dicen que sus riesgos de ciberseguridad están aumentando. Descubramos qué es una cyber kill chain (cadena cibernética) y cómo las empresas pueden usarla para protegerse de los ataques.
Cabe mencionar que ignorar la seguridad cibernética está demostrando ser uno de los errores más costosos. Es por ello, que se tiene un aumento del 72% en el costo promedio del delito cibernético en los últimos 5 años. Con la ciberseguridad, no es posible eliminar por completo los riesgos, por lo tanto, contar con estrategias de defensa puede ser la mejor solución posible para mitigar el riesgo.
Utilizando un enfoque de seguridad en capas, los riesgos pueden minimizarse. Pero, ¿cómo se asegura de que su sistema de ciberseguridad sea lo suficientemente fuerte como para resistir cualquier ataque a su organización? Aquí es donde la cadena cibernética tiene un papel que desempeñar.
¿Qué es una Cyber Kill Chain?
La cadena de eliminación cibernética es esencialmente un modelo de ciberseguridad. Fue creado por Lockheed Martin, este modelo tiene la finalidad de rastrear las etapas de un ataque cibernético. En general, identifica vulnerabilidades y ayuda a los equipos de seguridad a detener los ataques en cada etapa de la cadena.
Por esa razón el término cadena de muerte se adopta del ejército, que usa este término relacionado con la estructura de un ataque. Consiste en la identificación de un objetivo, despacho, decisión, orden y, finalmente, destrucción del objetivo.
¿Cómo funciona la Cyber Kill Chain?
La cadena de eliminación cibernética consta de 7 puntos de interés:
1. Reconocimiento
El atacante recopila datos sobre el objetivo y las tácticas para el ataque. Por lo tanto, esto incluye recopilar direcciones de correo electrónico y otra información. Los intrusos utilizan escáneres automatizados para encontrar puntos de vulnerabilidad en el sistema. Esto incluye escanear firewalls, sistemas de prevención de intrusiones, etc. De modo que, se busca obtener un punto de entrada para el ataque.
2. Armamento
Los atacantes desarrollan malware aprovechando las vulnerabilidades de seguridad. Asimismo, diseñan malware en función de sus necesidades y de acuerdo a la intención del ataque. Este proceso también involucra a los atacantes que intentan reducir las posibilidades de ser detectados por las soluciones de seguridad que tiene la organización.
3. Entrega
El atacante entrega el malware armado a través de un correo electrónico de phishing o algún otro medio. Por otra parte, los vectores de entrega más comunes para cargas útiles armadas incluyen sitios web, discos extraíbles y correos electrónicos. En efecto, esta es la etapa más importante donde los equipos de seguridad pueden detener el ataque.
4. Explotación
El código malicioso se entrega en el sistema de la organización. Sin duda, el perímetro está violado aquí. Por lo que, los atacantes tienen la oportunidad de explotar los sistemas de la organización instalando herramientas, ejecutando scripts y modificando certificados de seguridad.
La mayoría de las veces, el objetivo es una aplicación o las vulnerabilidades del sistema operativo. Ejemplos de ataques de explotación pueden ser secuencias de comandos, intercambio dinámico de datos y programación de trabajos locales.
5. Instalación
El malware que proporciona acceso al intruso instala un troyano de puerta trasera o de acceso remoto. Esta es otra etapa importante en la que se puede detener el ataque utilizando sistemas como HIPS (Sistema de prevención de intrusiones basado en host).
6. Comando y Control
El atacante obtiene control sobre los sistemas y la red de la organización. Asimismo, obtienen acceso a cuentas privilegiadas e intentan ataques de fuerza bruta. De la misma forma buscan credenciales y cambian permisos para tener el control.
7. Acciones sobre el objetivo
El atacante finalmente extrae los datos del sistema. Ciertamente, el objetivo consiste en recopilar, cifrar y extraer información confidencial del entorno de la organización. Como resultado, a las etapas mencionadas anteriormente, se proporcionan las siguientes capas de implementación de control:
- Detectar: determinar los intentos de penetrar en una organización.
- Denegar: detener los ataques cuando están ocurriendo.
- Interrumpir: intervenir es la comunicación de datos realizada por el atacante y luego la detiene.
- Degradar: esto es para limitar la efectividad de un ataque de seguridad cibernética para minimizar sus efectos nocivos.
- Engañar: atrapar al atacante brindándole información errónea o dirigiéndolo erróneamente.
- Contener: contiene y limita el alcance del ataque para que se restrinja solo a una parte de la organización.
Controles de seguridad
Los siguientes controles de seguridad se usan en cada punto de interés mencionado anteriormente, con el objetivo de mantener a salvo tu equipo en las diferentes etapas de Cyber Kill Chain, tenemos que:
1. Reconocimiento
- Detectar: analítica Web; inteligencia de amenazas; sistema de detección de intrusos en la red.
- Denegar: política de intercambio de información; listas de control de acceso de cortafuegos.
2. Armamento
- Detectar: inteligencia de amenazas; sistema de detección de intrusos en la red.
- Denegar: sistema de prevención de intrusiones en la red.
3. Entrega
- Detectar: protección contra malware de punto final.
- Denegar: gestión de cambios; lista blanca de aplicaciones; filtro proxy; sistema de prevención de intrusiones basado en host.
- Disrupt: antivirus en línea.
- Degradar: cola.
- Contiene: listas de control de acceso del enrutador; cortafuegos compatible con aplicaciones; zonas de confianza; sistema de detección de intrusos en la red entre zonas.
4. Explotación
- Detectar: protección contra malware de punto final; sistema de detección de intrusos basado en host.
- Denegar: contraseña segura; gestión de parches.
- Interrumpir: prevención de ejecución de datos.
- Contiene: cortafuegos compatible con aplicaciones; zonas de confianza; sistema de detección de intrusos en la red entre zonas.
5. Instalación
- Detectar: información de seguridad y gestión de eventos (SIEM); sistema de detección de intrusos basado en host.
- Denegar: separación de privilegios; contraseñas seguras; autenticación de dos factores.
- Disrupción: listas de control de acceso del enrutador.
- Contiene: cortafuegos compatible con aplicaciones; zonas de confianza; sistema de detección de intrusos en la red entre zonas.
6. Comando y Control
- Detectar: sistema de detección de intrusos en la red; sistema de detección de intrusos basado en host.
- Denegar: listas de control de acceso de cortafuegos; segmentación de red.
- Disrupt: sistema de prevención de intrusiones basado en host.
- Degradar: lona.
- Engañar: redirección del sistema de nombres de dominio.
- Contiene: zonas de confianza; sumideros del sistema de nombres de dominio.
7. Acciones sobre objetivos
- Detectar: protección contra malware de punto final.
- Denegar: cifrado de datos en reposo.
- Disrupción: protección contra malware de punto final.
- Degradar: calidad de servicio.
- Engañar: honeypot.
- Contener: respuesta a incidentes.
8. Exfiltración
- Detectar: prevención de pérdida de datos; información de seguridad y gestión de eventos (SIEM).
- Denegar: filtrado de salida.
- Disrupción: prevención de pérdida de datos.
- Contiene: listas de control de acceso de “cortafuegos”.
¿Cómo puede Cyber Kill Chain protegerse contra los ataques?
Las organizaciones pueden utilizar una cadena de eliminación cibernética o una plataforma de simulación de ataques cibernéticos. Ciertamente esto se usa para identificar y reparar las brechas de seguridad en el sistema en cuestión de segundos.
A continuación, te explicaremos como una simulación de una Cyber Kill Chain puede protegerte contra los ataques de seguridad cibernética:
1. Simular ataques de ciberseguridad
Los ataques reales de ciberseguridad se pueden simular en todos los vectores para encontrar vulnerabilidades y amenazas. Esto incluye la simulación de ataques cibernéticos a través de puertas de enlace de correo electrónico, puertas de enlace web, firewall de aplicaciones web, entre otros.
2. Evaluar los controles para identificar brechas de seguridad
Esto implica evaluar simulaciones e identificar las áreas de riesgo. Por lo que las plataformas de simulación le brindan una puntuación de riesgo detallada e informan sobre cada vector.
3. Remediar y arreglar las brechas de ciberseguridad
El siguiente paso es corregir las brechas de seguridad que se identificaron en el paso anterior. Esto puede incluir pasos como instalar parches y cambiar configuraciones para reducir la cantidad de amenazas y vulnerabilidades en el sistema de la organización.
Conclusión
Dejar las vulnerabilidades de ciberseguridad abiertas para ataques de seguridad es uno de los errores más comunes que cometen las organizaciones en la actualidad. Es evidente que la validación continua de la seguridad a lo largo de la cadena de eliminación cibernética puede ayudar a las empresa. Es decir, esto es identificar, prevenir, detener y prepararse para tales ataques.
Te puede interesar: Análisis de grafos para la detección de fraudes.
Si te gustó esta publicación, te invitamos a compartirla en tus redes sociales.
Publicaciones relacionadas
Innovación en la Nube: Una Inmersión en las Soluciones de Microsoft Azure
En el paisaje actual de negocios, la innovación en la nube se ha convertido en la piedra angular de la transformación digital. En este contexto, Microsoft Azure emerge como una fuerza impulsora, permitiendo a las organizaciones avanzar hacia la excelencia tecnológica. Para comprender plenamente el impacto de Azure, es crucial comenzar con una sólida introducción.…
Leer más Innovación en la Nube: Una Inmersión en las Soluciones de Microsoft Azure
192.168.100.1: La Puerta de Enlace a tu Red
En el corazón de cada hogar moderno y conectado, la dirección IP 192.168.100.1 se erige como la puerta de enlace esencial que facilita la compleja red que une nuestros dispositivos. Esta entrada explora a fondo el papel crítico de 192.168.100.1 como la columna vertebral de nuestras redes domésticas, destacando su importancia en la administración, seguridad…
Impacto Global de WannaCry: Repercusiones en la Ciberseguridad
En mayo de 2017, el mundo fue testigo de uno de los ciberataques más disruptivos y de mayor alcance en la historia: el ransomware WannaCry. Este ataque sin precedentes no solo cifró datos en más de 200,000 computadoras en 150 países, sino que también puso al descubierto las vulnerabilidades críticas en la infraestructura de TI…
Leer más Impacto Global de WannaCry: Repercusiones en la Ciberseguridad
El Impacto del Scareware en Tu Privacidad
En la era digital actual, la seguridad cibernética es una preocupación creciente, con el scareware emergiendo como una amenaza significativa para la privacidad y la seguridad de los usuarios. El scareware, una forma de software malicioso que engaña a los usuarios para que crean que sus sistemas están en riesgo, ha evolucionado para convertirse en…