¿Qué es la ‘cyber kill chain’? Un modelo de rastreo de ciberataques

Como profesional de la seguridad de la información es probable que haya oído hablar del uso de una cyber kill chain o cadena de eliminación cibernética para ayudar a identificar y prevenir intrusiones. Los atacantes están evolucionando en sus métodos, lo que puede requerir que mire a esta técnica de manera diferente. Lo que sigue es una explicación del concepto y de cómo podría emplearla en su entorno.

Definición

La cadena de eliminación cibernética, también conocida como el ciclo de vida del ataque cibernético, es un modelo desarrollado por Lockheed Martin que describe las fases de un ataque cibernético dirigido. Desglosa cada etapa de un ataque de malware donde los defensores pueden identificarlo y detenerlo.

En el lenguaje militar, una "cadena de muerte" es un modelo basado en fases para describir las etapas de un ataque, que también ayuda a informar formas de prevenirlos. Cuanto más cerca del comienzo de la cadena de muerte se pueda detener un ataque, mejor. Cuanta menos información tenga un atacante, por ejemplo, es menos probable que otra persona pueda usar esa información para completar el ataque más adelante.

La cadena de eliminación cibernética aplica el modelo militar a los ataques cibernéticos, con las fases de un ataque dirigido descritas de manera que puedan usarse para proteger la red de una organización. Las etapas se muestran en el siguiente gráfico.

Una cosa a tener en cuenta: cuanto más cerca del comienzo de la cadena pueda detener un ataque, menos costosa y lenta será la limpieza. Si no detiene el ataque hasta que ya esté en su red, tendrá que arreglar esas máquinas y hacer un montón de trabajo forense para averiguar con qué información se han quedado.

Pasos de la cadena de eliminación cibernética

Los pasos descritos en la cadena de eliminación cibernética se parecen mucho a un robo estereotípico. El ladrón realizará un reconocimiento en un edificio antes de intentar infiltrarse en él y realizará varios pasos más antes de irse con el botín. El uso de la cadena cibernética para evitar que los atacantes ingresen sigilosamente en su red requiere bastante inteligencia y visibilidad de lo que sucede en su red. Necesita saber cuándo hay algo que no debería estar para que pueda configurar las alarmas para frustrar el ataque.

Echemos un vistazo a los siete pasos de la cadena de destrucción cibernética para determinar qué preguntas debe hacerse para decidir si es factible para su organización.

Reconocimiento

En esta etapa, los delincuentes intentan decidir cuáles son (y cuáles no) los objetivos. Desde el exterior, aprenden lo que pueden sobre sus recursos y su red para determinar si vale la pena el esfuerzo. Idealmente, quieren un objetivo que esté relativamente desprotegido y con datos valiosos. La información que los delincuentes pueden encontrar sobre su empresa y cómo podría usarse podría sorprenderlo.

Las empresas a menudo tienen más información disponible de lo que creen. ¿Están en línea los nombres y datos de contacto de sus empleados? (¿Está seguro? Piense también en las redes sociales, no solo en su propio sitio web corporativo). Estos podrían usarse con fines de ingeniería social, por ejemplo, para que las personas divulguen nombres de usuario o contraseñas. ¿Hay detalles sobre sus servidores web o ubicaciones físicas en línea? Estos también podrían usarse para la ingeniería social, o para reducir una lista de posibles exploits que serían útiles para entrar en su entorno.

Esta es una capa difícil de controlar, particularmente con la popularidad de las redes sociales. Ocultar información confidencial tiende a ser un cambio bastante económico, aunque ser minucioso para encontrar la información puede llevar mucho tiempo.

Armamento, entrega, explotación, instalación

Estas cuatro etapas son donde los delincuentes utilizan la información que han recopilado para crear una herramienta para atacar a su objetivo elegido y darle un uso malicioso. Cuanta más información puedan usar, más convincente puede ser un ataque de ingeniería social.

Podrían utilizar el phishing selectivo para obtener acceso a los recursos corporativos internos con la información que encontraron en la página de LinkedIn de un empleado. O podrían poner un troyano de acceso remoto en un archivo que parece tener información crucial sobre un evento próximo para atraer a su destinatario a ejecutarlo.

Si saben qué software ejecutan sus usuarios o servidores, incluida la versión y el tipo del sistema operativo, pueden aumentar la probabilidad de explotar e instalar algo dentro de su red.

Estas capas de defensa son donde entran en juego los consejos estándar de expertos en seguridad. ¿Está actualizado su software? ¿Todo, en cada máquina? La mayoría de las empresas tienen esa caja en algún cuarto trasero que todavía ejecuta Windows 98. Si alguna vez se conecta a Internet, es como poner una alfombra de bienvenida para los atacantes.

¿Utiliza filtrado web y de correo electrónico? El filtrado de correo electrónico puede ser una buena manera de detener los tipos de documentos comunes que se utilizan en los ataques. Si necesita que los archivos se envíen de forma estándar, como en un archivo ZIP protegido con contraseña, esto puede ayudar a sus usuarios a saber cuándo se envían archivos intencionadamente. El filtrado web puede ayudar a evitar que los usuarios visiten sitios o dominios maliciosos conocidos.

¿Ha desactivado la reproducción automática para dispositivos USB? Dar a los archivos la oportunidad de ejecutarse sin aprobación rara vez es una buena idea desde una perspectiva de seguridad. Es mejor darle al usuario la oportunidad de detenerse y pensar en lo que está viendo antes de que se inicie.

¿Utiliza software de protección de endpoints con funcionalidad actualizada? Si bien el software de protección de endpoints no está diseñado para hacer frente a nuevos ataques dirigidos, a veces pueden detectar amenazas basadas en comportamientos sospechosos conocidos o explotaciones de software conocidas.

Comando y control

Una vez que una amenaza está en su red, su próxima tarea será llamar a casa y esperar instrucciones. Esto puede ser para descargar componentes adicionales, pero lo más probable es que se comunique con un botmaster en un canal de comando y control (C&C). En cualquier caso, esto requiere tráfico de red, lo que significa que solo hay una pregunta que debe hacerse aquí: ¿Tiene un sistema de detección de intrusos que está configurado para alertar sobre todos los programas nuevos que se comunican con la red?

Si la amenaza ha llegado tan lejos, ha realizado cambios en la máquina y requerirá mucho más trabajo por parte del personal de TI. Algunas empresas o industrias requieren que se realicen análisis forenses en las máquinas afectadas para determinar qué datos han sido robados o manipulados. Las máquinas afectadas deberán limpiarse o volverse a crear. Puede ser menos costoso y lento si se ha realizado una copia de seguridad de los datos y existe una imagen corporativa estándar que se puede reemplazar rápidamente en la máquina.

Acciones

El último paso natural en la cadena de destrucción parecería ser el ataque en sí mismo, como la interrupción de servicios o la instalación de malware, pero recuerde, el paso de acciones se trata de llevar a cabo el objetivo previsto, y una vez que se hayan interrumpido, corrompido o exfiltrado con éxito, los atacantes pueden volver y hacerlo todo de nuevo.

A menudo, el objetivo previsto de un ataque es la monetización y eso puede tomar cualquier forma, dice Ajit Sancheti, director ejecutivo de Preempt Security. Por ejemplo, los atacantes pueden usar la infraestructura comprometida para cometer fraude publicitario o enviar spam, extorsionar a la empresa para obtener un rescate, vender los datos que han adquirido en el mercado negro o incluso alquilar la infraestructura secuestrada a otros delincuentes. "La monetización de los ataques se ha incrementado dramáticamente", dice.

El uso de criptomonedas hace que sea más fácil y seguro para los atacantes recibir dinero, agrega, lo que contribuye al cambio en la motivación detrás de los ataques. La cantidad de diferentes grupos involucrados en el consumo de datos robados también se ha vuelto más complicada. Eso podría, potencialmente, crear oportunidades para que las empresas trabajen con las autoridades policiales y otros grupos para interrumpir el proceso.

Tomemos, por ejemplo, la información de la tarjeta de pago robada. "Una vez que se roban los datos de la tarjeta de crédito, los números deben probarse, venderse, usarse para adquirir bienes o servicios, esos bienes o servicios a su vez deben venderse para convertirlos en efectivo", dice Monzy Merza, jefe de investigación de seguridad en Splunk, Inc. Todo esto está fuera de la cadena tradicional de muerte de un ataque cibernético, dice. Otra área en la que el ecosistema del mercado negro afecta el ciclo de vida del ciberataque es antes de que comience el ataque. Los atacantes comparten listas de credenciales comprometidas, de puertos vulnerables, de aplicaciones sin parchear.

Problemas con la cadena de eliminación cibernética

Como ha demostrado ampliamente la historia reciente, los atacantes no están siguiendo la teoría al dedillo. Se saltan pasos. Agregan pasos. Retroceden. Algunos de los ataques recientes más devastadores pasan por alto las defensas que los equipos de seguridad han construido cuidadosamente a lo largo de los años porque están siguiendo un plan de juego diferente. Según un informe de 2018 de Alert Logic, el 88 % de los ataques combinan los primeros cinco pasos de la cadena de eliminación en una sola acción.

En los últimos años, también hemos visto el aumento del malware de minería de criptomonedas. "Y las técnicas que usaron ignoraron los pasos tradicionales", dice Matt Downing, investigador principal de amenazas en Alert Logic, Inc. "Todas las técnicas de detección y mitigación en etapa inicial no funcionarían". Además, los atacantes no tienen que exfiltrar datos valiosos y luego tratar de venderlos en el mercado negro, agrega. "Pueden monetizar directamente un activo comprometido", advierte.

Los ataques con credenciales comprometidas, donde los atacantes inician sesión con datos aparentemente legítimos y usan esas cuentas para robar datos, tampoco encajarían en el marco de ataque tradicional. "Ese es un caso en el que, obviamente, la cadena de bloqueo de Lockheed Martin no se aplica", dice Downing.

Otro tipo de ataque que no encaja en el modelo tradicional: los ataques a aplicaciones web. "Cuando tiene una aplicación que está expuesta a la red, cualquiera puede venir y visitarla", dice Satya Gupta, fundador y CTO de Virsec Systems, Inc. "Es como tener una puerta abierta en su casa", ejemplifica.

El ataque a Equifax, por ejemplo, se remonta a una vulnerabilidad en el software del servidor web Apache Struts. Si la empresa hubiera instalado el parche de seguridad para esta vulnerabilidad, podría haber evitado el problema, pero a veces la actualización del software en sí se ve comprometida, como fue el caso de la actualización del software CCleaner de Avast en 2017.

Otras tecnologías transformadoras (IoT, DevOps y automatización de procesos robóticos) también están aumentando la superficie de ataque de maneras que no encajan con el modelo tradicional de cadena de destrucción cibernética, dice Lavi Lazarovitz, líder del equipo de investigación cibernética en CyberArk Labs.

El ciclo de vida tradicional de los ciberataques también pasa por alto los ataques que nunca tocan los sistemas empresariales. Por ejemplo, las empresas utilizan cada vez más proveedores de software como servicio (SaaS) de terceros para administrar sus datos valiosos.

"El tamaño del problema ha crecido exponencialmente dada la cantidad de inicios de sesión que tiene la gente, la cantidad de servicio SaaS que hay y la cantidad de conexiones de terceros que existen", dice Ross Rustici, director senior de Cybereason, Inc.

Cyber ??kill chain vs. Mitre ATT&CK

La naturaleza evolutiva de las amenazas cibernéticas hace que algunas organizaciones busquen una forma más flexible y completa de pensar sobre los ataques cibernéticos.

Un actor importante es el marco Mitre ATT&CK . "Hay un gran movimiento para mostrar técnicas de ataque reales vinculadas a cada paso en la cadena de eliminación, y esto es lo que ha hecho ATT&CK de Mitre", dice Ben Johnson, CTO de Obsidian Security, Inc. "Ha recibido una recepción y aceptación increíbles de los vendedores y de la comunidad".

Rod Soto, director de investigación de seguridad de Jask, advierte sobre la dependencia excesiva de los marcos. "La deriva adversaria es dinámica por naturaleza. Las herramientas, técnicas y procedimientos de los atacantes seguirán cambiando a medida que las nuevas medidas de defensa los vuelvan obsoletos. Los marcos como la cadena cibernética pueden ser parte de nuestro conjunto de herramientas, pero depende de nosotros como profesionales de la seguridad. Debemos seguir pensando de forma creativa para mantenernos al día con los atacantes y sus innovaciones", concluye.