La Cadena de Destrucción Cibernética

Publicado en

El mundo de la seguridad informática utiliza una gran cantidad de conceptos que provienen del ámbito militar, no porque suenen bien sino porque hay muchas analogías interesantes que se pueden encontrar.

Uno de ellos es el concepto acuñado por Lockheed Martin de la cadena de destrucción cibernética: un modelo de inteligencia para la temprana detección, identificación y prevención de ataques. Esta cadena es uno de los métodos que se pueden utilizar para entender las intrusiones en la red.

Indicadores

Antes de especificar lo que es exactamente la cadena de destrucción, tenemos que entender uno de los elementos fundamentales de la inteligencia: los indicadores. Hay tres tipos:

  • Atómico (por ejemplo, direcciones IP o de correo electrónico)

  • Computarizado (por ejemplo, hash de archivos)

  • Conductual (colecciones de indicadores computarizados y atómicos, que a menudo describen los diferentes pasos en una parte de la intrusión)

Los indicadores son los que se utilizan para detectar las diferentes fases de la cadena de destrucción.

La cadena de destrucción cibernética

La idea central de la cadena de destrucción es que un atacante debe reunir suficiente material para romper un entorno, mantener su punto de apoyo, y luego pasar a su objetivo final.

La cadena consiste en siete fases:

  1. Reconocimiento: investigación, identificación y selección de los blancos. Mucho de esto se puede hacer a través de fuentes públicas.

  2. Militarización: después de identificar una posible vulnerabilidad, el atacante construye (o adquiere) un malware bien elegido que puede explotar la vulnerabilidad

  3. Entrega: enviar el software malicioso a la víctima (por ejemplo, como un adjunto de correo electrónico).

  4. Explotación: ejecutar el código malicioso que fue enviado a la víctima.

  5. Instalación: la instalación del código malicioso en el sistema de la víctima para que el atacante puede retener el acceso.

  6. Comando y Control (C2): cuando se instala el código malicioso, le tiene que informar al atacante que fue un éxito y esperar instrucciones.

  7. Acciones sobre objetivos: este es el objetivo final que el atacante quería lograr, por ejemplo, el robo de información.

Medidas de defensa

Entonces, ¿Qué mecanismo de defensa se puede tomar para evitar a estos atacantes?

En este modelo, el punto crucial es que la ruptura de cualquier paso rompe toda la cadena de destrucción, lo que significa que los atacantes tienen que pasar por todo el modelo nuevamente para tener éxito.

Para el reconocimiento, se pueden utilizar analíticas web y/o ingresar en una página de forense para la detección. Limitar la cantidad de información que se expone al público puede ayudar. No publicar el esquema de red interna es obvio, pero también se debe limitar la cantidad de información sobre el personal y los procedimientos de trabajo. Poner reglas de firewall y controles de acceso es una obligación.

No hay mucho que se pueda hacer acerca de la militarización, ya que se produce en el mismo recinto del atacante, pero se pueden utilizar diferentes líneas de defensa para la entrega, la explotación, la instalación y el uso de fases C2.

La sensibilización de los usuarios (de vigilancia) y el filtrado de proxy puede impedir la entrega.

Las otras fases se pueden detener mediante el uso de (host-based) de detección de intrusos, sistemas antivirus, sistemas de aislamiento y filtrado de salida adecuado. Además, no se debe descuidar el uso de datos de inteligencia de amenazas disponibles para actualizar los dispositivos de filtrado e inspección. Y hacer una administración de registros adecuada debe ser parte de los procesos de TI.

El caso del malware

Una de las críticas al modelo de destrucción cibernética es que está demasiado centrada en el malware. Este código maligno es sólo un posible medio de ataque, pero las amenazas actuales ahora también pueden implicar una amenaza interna, en la ingeniería social, o intrusiones basadas ​​en el acceso remoto (por ejemplo, a través de un proveedor o credenciales capturadas).

Algunas de las fases se seguirán aplicando y pueden ayudar a prevenir o detectar incidentes. Pero a medida que los atacantes van cambiando sus métodos, todos debemos hacer lo mismo.

 

Bio

Alessandro Porro es Vicepresidente de Ventas de Ipswitch para Latinoamérica.