Seguridad Integral

Cyber Kill Chain

Jaime Martinez
Egresado de la carrera de Ingeniería Cibernética de la Universidad La Salle, cuenta con una Maestría en Tecnologías de la Información en la Dirección de Empresas por parte de la Universidad La Salle, así como un Diplomado en Líderes de Operación por parte del ICAMI Universidad Panamericana. Cuenta con certificaciones en ITIL, CCNA, y en +10 productos de ManageEngine a nivel Expert.


Publicado Jun 2020



El concepto Cyber Kill Chain fue acuñado por analistas de Lockheed Martin Corporation y se basa en un concepto militar. La idea es detectar y responder de forma oportuna y adecuada a las posibles intrusiones y ataques de los cuales podemos ser víctimas. 

Se divide en un total de siete niveles  y cada uno de estos niveles  nos permite dividir los ataques de forma que se puedan tomar acciones y facilitar el proceso de identificar y determinar si las medidas de protección son las adecuadas en función de la etapa del ataque.

Niveles de ataque de la Cadena Cyber Kill:

  1. Reconocimiento. En esta fase se identifica al objeto a atacar. Los atacantes planean su fase de operación, mediante un proceso de investigación para entender cuáles son los objetivos a atacar que cuadran con lo que están buscando. Con esta información, el atacante valora qué métodos de ataque podrían funcionar y con que probabilidad de éxito.
  2. Preparación. El objetivo de esta fase es la preparación de la forma de intrusión. Puede incluir tanto la preparación de un archivo para su uso en las fases siguientes como la selección de una herramienta para el ataque. Dependiendo del tipo de objetivo, el atacante elegirá el método a utilizar.
  3. Distribución. Esta fase implica la intrusión del ataque, tratando de comprometer al sistema, activo o a la red, por medio de diferentes métodos de ataque, tales como phishing a través de sitios web maliciosos o por medio de la entrega de un documento infectado.
  4. Explotación. Esta fase implica la detonación del ataque generalmente utilizando una brecha de seguridad que se ha encontrado en el sistema o en la red. El atacante dirige su estrategia específicamente hacia su objetivo. En el caso de tener acceso exitoso, el atacante se dedicará a explotar el objetivo y tratará de instalar métodos que le permitan el acceso a futuro.
  5. Instalación. Sin el conocimiento del usuario afectado, el método seleccionado se implementa en el sistema de destino. Esto puede hacerse, infiltrándose en el sistema, activo o en todo el nivel de la red, instalando por ejemplo ransomware o troyanos.
  6. Comando y control: Llegados a este punto el atacante cuenta con el control del sistema de la víctima, en el que podrá realizar acciones maliciosas dirigidas desde un servidor central conocido como C&C (Command and Control), pudiendo sustraer credenciales, tomar capturas de pantalla, llevarse documentación confidencial, instalar otros programas,  etc.
  7. Acciones sobre los objetivos: Esta es la fase final en la que el atacante se hace con los datos e intenta expandir su acción maliciosa hacia mas objetivos. Esto explica porque la kill chain no es lineal sino cíclica, ya que se volverían a ejecutar todas y cada una de sus fases de cara a infectar a mas víctimas.


La clave radica en comprender cuales son las fases en el ciclo de vida de un ataque y para cada una de estas fases se debería contar con una estrategia que rompa la secuencia del ataque, detectando, deteniendo, interrumpiendo y recuperándose en cualquiera de la etapas y así implementar todas las operaciones necesarias que garanticen el mayor grado de seguridad y protección.

.


Déjanos un comentario: