TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

7 TÁCTICAS EFICACES PARA ROMPER LA CADENA DE ATAQUE / CYBER KILL CHAIN DE LOCKHEED MARTIN

Escrito por marketing on 30/10/18 12:33

7-TACTICAS-EFICACES-PARA-ROMPER-LA-CADENA-DE-ATAQUE-CYBER-KILL-CHAIN-DE-LOCKHEED-MARTINEl marco Cyber Kill Chain o Cadena de Ciberataque fue desarrollado por Lockheed Martin, con el fin de lograr la identificación y prevención de la actividad de intrusiones cibernéticas. En estas siete fases se identifica lo que los atacantes deben completar para lograr su objetivo.

Entendiendo cada fase podemos mejorar la visibilidad de un ataque y enriquecer la estrategia de defensa al comprender las tácticas, técnicas y procedimientos del atacante.

Hablar de ciberataques no es nada nuevo, pero la forma en la que están logrando su objetivo es más fuerte que nunca. Los atacantes son cada vez más sofisticados, están más preparados, y llenos de skills y tácticas con las que planean la intrusión de campañas que se aprovechan de las APT´s.

Si bien es cierto para cada organización la seguridad depende de forma crítica de la infraestructura, así que  la prioridad es que cada equipo de seguridad pueda identificar lo que se requiere para entender a los atacantes, lo que los motiva y sus estrategias. 

Tenemos que aceptar que los atacantes están intentando comprometer y extraer tu información y no solo para un fin económico o político si no para dañar tu reputación demostrando lo fácil que fue romper tu protección. Y aún peor, están demostrando sus conductas destructivas, sus herramientas y técnicas pues cuentan con  la habilidad suficiente para vencer los mecanismos de defensa más comunes.  Los atacantes hoy son sofisticados, motivados y llenos de recursos.

Nuestro objetivo es detener a los atacantes en cualquier etapa, rompiendo la cadena de ataque.

De acuerdo con la guía tomando ventajas en cada fase de la cadena de ataque de Lockheed Martin, los atacantes deben avanzar completamente a través de todas las fases para que tengan éxito; lo que pone las probabilidades a nuestro favor, pues solo basta con bloquear su avance para el éxito.

Si lo vemos de otra perspectiva, cada intrusión es una oportunidad para nosotros ya que podemos entender más sobre nuestros atacantes, su modo de operación entre muchos otros elementos más.

El modelo de cadena de ataque está diseñado en siete pasos, para los cuáles debemos:
  • Identificar el objetivo del defensor: comprender las acciones del agresor.
  • Tener en cuenta que comprender es inteligencia.
  • Tener bien claro que el intruso tiene éxito si, y solo si, pueden continuar con los pasos.

Así que vamos a conocer las  siete tácticas eficaces para romper la cadena de ataque en cada una de sus fases: 

Táctica 1) RECONOCIMIENTO. Identificando el Target- Empresa Objetivo

Los atacantes planean su fase de operación, están en un proceso de investigación pata entender cuáles son las empresas objetivo que cuadran con lo que están buscando.

¿Cómo rompo la cadena de ataque en esta fase?

 Detecta el reconocimiento en tiempo "real" puede ser muy difícil, pero cuando los defensores descubren el reconocimiento no significa que sea tarde, de hecho aunque los  descubran  después, esto  puede revelar la intención de los atacantes. 

Táctica 2) SELECCIÓN DE MALWARE O VULNERABILIDAD. Preparando la operación.

Los atacantes se encargan de preparar todo, seleccionan el malware o la vulnerabilidad que van a atacar, para esta fases suelen utilizar herramientas automáticas; la inyección de troyanos, crypto malware, ect; con el fin de explotarlos utilizando una puerta trasera o gap de seguridad. 

¿Cómo rompo la cadena de ataque en esta fase?

Esta es una fase esencial para nosotros como defensores; pues aunque no pueden detectar el uso de malware o vulnerabilidades, pueden inferir mediante el análisis adecuado de vulnerabilidades y vectores de ataque. Las detecciones contra los vectores suelen ser las tácticas de defensas más duraderas y resistentes.

Táctica 3) ENTREGA. Lanzamiento de la operación.

Implantación o carga de virus a través de email, pdf, usb, sitio web comprometido entre otros. 

¿Cómo rompo la cadena de ataque en esta fase?

Si realizáramos una estrategia para romper la cadena, esta fase es la ideal para iniciar, pues esta fase es la primera y más importante oportunidad para que como defensor puedas bloquear la operación. Una media clave de la efectividad es la fracción de intentos de intrusión que se bloquean en la etapa de entrega.

Táctica 4) EXPLOTACIÓN. Ganar el acceso a la víctima.

Explotar los resultados en el usuario comprometido, realizar la ejecución del virus de forma exitosa. 

¿Cómo rompo la cadena de ataque en esta fase?

Para esta fase, las medidas de protección tradicionales agregan agregan resistencia, sin embargo es estrictamente necesaria las configuraciones personalizadas para detener los ataques de día cero.

Táctica 5) INSTALACIÓN. Establecerse dentro del sistema.

Generalmente, los atacantes instalan una puerta trasera o un "implante"persistente en el entorno de la víctima para mantener el acceso durante un período prolongado de tiempo.

¿Cómo rompo la cadena de ataque en esta fase?

En esta fase las herramientas de seguridad a nivel Endpoint son ideales para detectar y registrar la actividad de instalación.Es muy importante analizar  la fase de instalación durante el análisis de malware para crear nuevas mitigaciones a nivel endpoint.

Táctica 6) COMANDO Y CONTROL. Tomar control remoto de los "implantes". 

Aquí los atacantes se encargan de establecer la comunicación deseada con el canal de mando y control con el fin de continuar operando sus activos internos de forma remota. 

¿Cómo rompo la cadena de ataque en esta fase?

Esta pudiera ser la última"mejor oportunidad" para bloquear la operación, bloqueando el canal C2; si los atacantes no pueden emitir ordenes, los defensores pueden evitar el impacto.

Táctica 7) ACCIÓN EN EL OBJETIVO. Lograr la meta de forma exitosa.

Con el acceso directo al teclado los atacantes logran el objetivo de la misión, lo que suceda después depende de quién este en el teclado. 

¿Cómo rompo la cadena de ataque en esta fase?

Debemos tener presente que cuanto más tiempo tenga acceso total, mayor será el impacto. Como defensor debemos detectar esta etapa lo más rápido posible, mediante el uso de pruebas forenses, incluidas en las capturas de paquetes de la red para la evaluación de daños. 

Pero, ¿qué pasa si en ninguna de las fases logramos romper la cadena? Es importante considerar tres elementos: Análisis (Identificación de Patrones),  Reconstrucción (Prevención de futuros ataques), Resiliencia (Defensa de APT´s).

>> Solo una mitigación rompe la cadena<<

Como defensor podemos tomar ventaja de diferentes formas:

  1. Mejorando la comunicación y mitigación de riesgos. 
  2. Creación de una verdadera resiliencia en la organización.
  3. Resultados medibles. 
  4. Empezando una estrategia de defensa: recordando siempre no existe ningún elemento seguro, sino defendible.
  5. Cambia el chip, piensa de forma diferente cuando realices modificaciones en los procesos, inversiones tecnológicas, métricas, las formas y canales de comunicación con tu equipo y áreas o líderes y arquitecturas.
  6. Conoce tus amenazas, no solo se trata de contar con protección para tu red, es defender más allá de las red física, no te olvides de las plataformas, aplicaciones  y usuarios móviles.

Ahora ya tienes los tips para evitar impactos y minimizar riegos, si quieres empezar un plan de defensa para cubrir cada fase con tácticas y herramientas especializadas de acuerdo a tus objetivos de negocio, agenda tu cita con uno de nuestros consultores expertos aquí.   

Conoce las siete fases de la cadena de ciberataque de Lockheed Martin aqui

Topics: CyberKillChain, lockheed martin, cadena de ataque, Cadena de ciberataque, Fase de Reconocimiento, Fase de Weaponization, Fase de creación de malware y vulnerabilidad,, Fase de Entrega, Fase de Explotación,, Fase de instalación,, Fase de Comando y Control,, Fase de Acción en el Objetivo,, Aplicando la metodologia CyberKillChain


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
UNETE-AQUI-HRD2018
Levanta-ticket-soporte.jpg
Infectados-por-Ransomware.jpg
Fortalece-a-tu-equipo-con-el-Diplomado.jpg
Descarga-tu-propio-Top-Ten-de-Vulnerabilidades

Aprende a minimizar la superficie de ataque por Ransomware