Los cibercriminales de la actualidad están enfocados en hallar nuevas formas de vulnerar los bienes de las compañías.
Esa búsqueda incesante es lo que les permite estar un paso adelante de cualquier medida de seguridad avanzada.
No obstante, lo que realmente varía en su modus operandis son los canales que utilizan. Por el contrario, la base de su procedimiento se mantiene intacta. Esto es una ventaja que puedes utilizar a tu favor.
En esta publicación de nuestro blog te comentaremos de qué trata la taxonomía Kill Chain y cómo este modelo de ataque puede ayudarte a prevenir futuras intrusiones.
¿Qué es la taxonomía Kill Chain?
La taxonomía Kill Chain o cadena de exterminio es un concepto militar de los años noventa adaptado a la industria de la ciberseguridad. El término busca explicar cuáles son las fases elementales por las que atraviesa un atacante para completar su objetivo.
También conocida como Ciber Kill Chain, este concepto ha sido adoptado por innumerables compañías de seguridad en los últimos años.
Esto gracias a que, tras su comprensión, se puede entender de manera más clara cómo funciona o transcurre un ciberataque.
Así, las empresas son capaces de prevenir futuras brechas de seguridad como el secuestro de datos o una amenaza persistente avanzada (APT, en inglés).
Taxonomía Kill Chain: De lo militar a lo corporativo
El concepto base de Kill Chain tiene su origen en el mundo militar. Los comandos bélicos solían apoyarse en esta metodología para identificar, atacar y destruir su objetivo.
Años más tarde, la compañía Lockheed Martin le dio este nombre a la teoría en 2007 y lo registró como una marca propia.
Pero eso no fue todo: la multinacional aeroespacial y militar no solo le dio un título, sino que la introdujo al terreno de la seguridad de la información. Así, la compañía funge como el nexo entre el pasado y el presente del uso de este término.
Como resultado de este movimiento, la taxonomía Kill Chain pasó a ser un método para modelar las intrusiones en una red informática.
De hecho, la Intrusión Kill Chain — otro de sus nombres — ha ayudado a muchas empresas a defender sus redes más sensibles hasta ahora utilizando un enfoque paso a paso.
¿Cómo funciona la taxonomía Kill Chain?
El funcionamiento de la Ciber Kill Chain o cadena de exterminio de ciberseguridad se basa en fases o etapas. Estas muestran los pasos detallados que un criminal debe dar para tomar control de tus sistemas.
Ahora, la teoría como tal no necesita de un ataque para funcionar. Es decir, la taxonomía Kill Chain se utiliza para estudiar más de cerca el procedimiento de ataque utilizado por los cibercriminales.
De esta forma, podemos anticiparnos a sus movimientos y prevenir que logren su objetivo. No obstante, primero debemos conocer cuáles son dichas fases.
1. Reconocimiento (Reconnaissance)
Esta primera fase es de observación para el atacante. En este periodo de tiempo es que decide su objetivo, estudia sus vulnerabilidades y sus métodos de defensa.
Usualmente suele hacer esto analizando toda la información disponible de la compañía. Por ejemplo, en tu sitio web, redes sociales, listas de correo electrónico, etc.
2. Militarización (Weaponization)
Luego, el cibercriminal selecciona su forma de ataque: un troyano, por ejemplo, que altera la vulnerabilidad identificada en la etapa anterior.
3. Entrega (Delivery)
Posteriormente, el atacante procede a distribuir su paquete de ataque a la víctima. Comúnmente suelen utilizar archivos adjuntos de correo electrónico, sitios vulnerables, dispositivos USB, entre otros.
4. Explotación (Exploitation)
Después, el intruso espera a que su primera táctica funcione: el código malicioso introducido es inocentemente ejecutado y explota la vulnerabilidad previamente elegida. Así, el sistema operativo o una aplicación en particular de la víctima queda al descubierto.
5. Instalación (Installation)
Consecuentemente, el hacker entra al sistema a través de la “puerta trasera” que generó. A partir de allí, accede al sistema de la víctima y va en busca de la información que desea.
6. Mando y Control (Command & Control)
A raíz de esto, el atacante procede a fortalecer su estrategia estableciendo los canales de comunicación. Estos le permitirán controlar el sistema vulnerado a distancia.
7. Acciones sobre Objetivos (Actions on Objectives)
Por último, el atacante entra en acción con la información buscada y completa cuál sea fuera su objetivo: la exfiltración, destrucción o el secuestro de datos.
Cada uno de estos siete pasos corresponde a las fases de un ciberataque según Lockheed Martin. Sin embargo, al día de hoy existen variaciones de este modelo.
Excepciones a los 7 pasos de la taxonomía Kill Chain
Puede que Lockheed Martin sea la compañía pionera en aplicar la teoría de la cadena de exterminio en el campo de la seguridad informática.
No obstante, otras organizaciones y espacios digitales especializados en la ciberseguridad han creado modelos parecidos al original, aunque con algunos pasos diferentes.
- Por ejemplo, entre las fases de Reconocimiento y Explotación se encuentra la fase de Intrusión. En ella, el atacante se introduce en el sistema aprovechando el malware o las vulnerabilidades de seguridad.
- También, después de la etapa de Explotación sigue la Escalada de Privilegios, el Movimiento Lateral, la Ofuscación/Anti-forense, la Denegación de Servicio y la Exfiltración.
Estas últimas cinco etapas son otro ejemplo de las diferencias que existen con el modelo original.
De hecho, en dichas fases se señala la complejidad de atacar un sistema: la necesidad del delincuente de obtener un acceso más privilegiado, moverse lateralmente a otras cuentas, cubrir sus huellas, dejar rastros falsos, interrumpir el acceso normal, etc.
En otras palabras, los modelos más nuevos que el originado por Lockheed Martin muestran un paso-a-paso más detallado. Incluso, resaltan los principales obstáculos que enfrentan los ciber-atacantes cuando deciden infiltrarse en un sistema.
¿Cómo utilizar la taxonomía Kill Chain para defender tus sistemas y proteger tus activos más sensibles?
Sin embargo, estas diferencias entre los modelos de la Ciber Kill Chain quedan relegadas a un segundo plano cuando se trata de defender tu compañía.
En la actualidad, ese es el principal uso que se le da al análisis de la cadena de exterminio. Así, podrás estar preparado para prevenir una inesperada infiltración maligna en tus sistemas y combatir cualquier tipo de atentado digital.
Ahora, mucho se ha comentado al respecto sobre un posible “punto débil” de la taxonomía Kill Chain. Se dice que esta se centra solo en la seguridad del perímetro y se limita únicamente a la prevención del malware.
Aunque estas críticas en parte son verídicas, lo cierto es que la taxonomía debe complementarse con un apartado avanzado de analítica para que pueda traer resultados.
AT&T Cybersecurity: El software de gestión de seguridad digital más confiable
AT&T Cybersecurity es la versión mejorada de AlienVault. Este apartado de seguridad es uno de los programas de protección de la información más reconocidos hoy en día.
En 2018, AT&T Communications adquirió AlienVault. Poco tiempo después, se gestó una nueva marca para proporcionar servicios de código abierto para administrar los ataques cibernéticos.
Al día de hoy, las soluciones de priorización efectiva de amenazas de AT&T Cybersecurity superan por mucho los métodos estándares de la industria. Estos últimos, se comenta, consumen mucho tiempo y son defectuosos.
Ahora, para que la respuesta a los incidentes sea eficaz, es necesario que la gestión de las amenazas y el establecimiento de prioridades sean satisfactorias.
Es por eso que la solución de AT&T Cybersecurity, AlienVault Unified Security Management (USM), específicamente la Intelligence Threat Management, está estrechamente relacionada con la taxonomía Kill Chain.
De hecho, la solución USM de AlienVault utiliza una taxonomía Kill Chain para dividir los ataques en cinco categorías de amenazas, de mayor a menor.
- System Compromise, que muestra un posible sistema comprometido.
- Exploitation & Installation, la cual indica una explotación exitosa de una vulnerabilidad en un sistema.
- Delivery & Attack, que demuestra un intento de entrega de un exploit.
- Reconnaissance & Probing, opción que revela un mal actor que intenta descubrir información sobre tu red.
- Environmental Awareness, la cual muestra violaciones de políticas, software vulnerable o comunicaciones sospechosas.
En sí, la solución te proporciona información altamente detallada de la amenaza latente. De esta forma, serás capaz de concentrarte en las amenazas más peligrosas para tu compañía.
Por consecuente, esto convierte a AT&T Cybersecurity en la herramienta de seguridad cibernética más adecuada cuando de gestión y priorización de amenazas se trata.
¿Cómo podemos ayudarte?
En GB Advisors sabemos lo complicado que puede ser reconocer cada incidente que ocurre en tus sistemas. Más aún cuando la mayoría de las amenazas están en constante evolución.
Es por eso que te recomendamos monitorear de manera frecuente el estado de tus sistemas. Asimismo, debes contar con las soluciones de ciberseguridad más apropiadas.
En este caso, AT&T Cybersecurity se posiciona como un software líder de la industria en la priorización efectiva de amenazas. Su uso más adecuado te permitirá minimizar la información que puede extraer un atacante de tu compañía.
Si tienes dudas sobre cómo aprovechar las soluciones de esta herramienta a tu favor, contacta a nuestro equipo experto para que disfrutes de asesoría especializada en la implementación de esta aplicación.
