TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

LA CADENA DE ATAQUE (KILL CHAIN) EN IOT (INTERNET OF THINGS)

Escrito por Miguel Torres on 26/04/17 18:21

killchain -iot -blog.jpgLos dispositivos IoT cómo cámaras de seguridad, termostatos inteligentes y accesorios personales son objetivos fáciles para el cibercrimen, pero un enfoque de seguridad en capas puede ayudar a frustrar un ataque.

El concepto de la cadena de ataque (killchain) ha estado en el medio de la seguridad informática por varios años. El término se originó a partir de los cientificos informáticos en la corporación militar Lockheed-Martin, fueron los primeros en 2011 en utilizar este término en el ámbito de la seguridad cibernética describiendo un marco descriptivo de las fases de un ataque con el fin de defender redes de datos. Su relevancia ha adquirido un nuevo significado en esta era del internet de las cosas (IoT) y los ataques botnet. IDC predice que para 2020, 30 mil millones de  dispositivos IoT formarán parte de la infraestructura digital.

El modelo "kill chain" establece las etapas de un ataque cibernético, desde el reconocimiento temprano hasta la finalización del ataque con el objetivo de robar datos y permitir más ataques.

Estas etapas son:

1. Reconocimiento - El intruso selecciona su dispositivo objetivo, lo investiga y busca vulnerabilidades

2. Armado - El intruso utiliza un arma de malware de acceso remoto, como un virus o gusano, que aprovecha una vulnerabilidad

3. Entrega - El intruso transmite el arma al dispositivo de destino, ya sea a través de archivos adjuntos de correo electrónico, sitios web, unidades USB, etc.

4. Explotación - El malware programa la ejecucion  de código que desencadena el ataque. Esto genera la acción en el dispositivo objetivo para explotar la vulnerabilidad.

5. Instalación - El malware instala los puntos de acceso para que el intruso los utilice.

6. Comando y control: El malware permite que el intruso tenga acceso persistente a la red destino, lo que también permite futuros ataques.

Los dispositivos de IoT, en particular artículos como cámaras de seguridad, termostatos inteligentes, accesorios personales e incluso cafeteras, son objetivos fáciles para quienes utilizan la cadena de ataque. A menudo tienen poco o ningún sistema de seguridad, haciendo el paso # 2 de la cadena bastante fácil. Por ejemplo, el año pasado se encontraron 80 modelos de cámaras de seguridad IP de Sony que tenían backdoors, lo que facilitaba el acceso a los hackers.

NO ROMPA LA CADENA, PREVENGA SU EJECUCIÓN

La mejor manera de evitar que un intruso que usa la cadena de ataque en dispositivos IoT empresariales es invertir en un enfoque por capas.

Hay cuatro pasos para este enfoque:

1. Evaluación: Comience con un proceso de descubrimiento de la red de todos los dispositivos IoT existentes, incluidos los dispositivos parcial o totalmente gestionados. Entender qué tipo de dispositivo es, en qué sistema operativo se está ejecutando, qué aplicación y qué procesos están instalados en él.

2. Segmentación: Los dispositivos IoT no deben estar en el mismo segmento de red que otros dispositivos, ni estar al alcance de los sistemas y datos críticos de la organización. Implementar firewalls entre estos segmentos para evitar que los "IoT" lleguen a las "joyas de la corona" es fundamental.

3. Detección: Analice regularmente el comportamiento de su red para detectar todos los dispositivos IoT que se unen a la red y examine cuidadosamente si se comporta de forma similar a otros dispositivos típicos en ella. Un dispositivo comprometido o un dispositivo falso podría tener el mismo aspecto pero comportarse de manera diferente.

4. Respuesta: Como las alertas manuales pueden tardar horas o incluso días en procesarse, la mejor práctica debe incluir algún tipo de plan de respuesta a incidentes que bloquee o limite el acceso de un dispositivo específico en cuestión de segundos.

Este enfoque está diseñado para prevenir tanto la probabilidad de un ataque usando kill chain como para romper un ataque en vivo si se produce. Una vez que se detecta una vulnerabilidad en el dispositivo IoT y se está realizando el ataque, romper los últimos pasos de la cadena es crucial, ya que es a menudo donde se encuentra el mayor reto de una estrategia avanzada de protección dentro de una empresa. Estas últimas etapas proporcionan la mejor imagen de quién podría estar atacando e infectando su red corporativa. También requieren la menor cantidad de tiempo de remediación. Por ejemplo, si una cámara de seguridad vulnerable continúa comunicándose a través de Internet, incluso después de la segmentación, es una llamada inmediata para bloquearla completamente de la red.

 Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com 

Aprende más sobre como asegurar dispositivos IoT  en nuestro diplomado de seguridad de la información, da click en la imagen para mayor información

Nuevo llamado a la acción

*Ofer Amitai/DarkReading/2017

Topics: cibercrimen, CyberKillChain, Internet de las Cosas, IoT, Seguridad, Seguridad Informática, Ciberseguridad, Internet of things, panorama de amenazas, mejores practicas seguridad informatica, controles de seguridad informática, mitigacion de riesgos, zero day threats, dia cero, ciberseguridad y negocio, cadena de ataque, lockheed martin, ransomware IoT, gestion de riesgos, mirai, mirai botnet


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
Agenda-aqui-tu-asesoria-con-un-consultor-experto.jpg
Tienes-problemas-de-soporte-levanta-tu-caso-aqui.jpg
Webinar | ¿Cómo adaptarse a la nueva normalidad e incrementar la productividad?
EBOOK-Guia-de-senales-de-prevencion-para-evitar-ataques-por-ransomware-con-tu-solucion-de-ciberseguridad.jpg

¿Cómo estás enfrentando los riesgos cibernéticos por COVID-19?