Al igual que todas las soluciones de seguridad cuentan con un marco para eliminar los procesos maliciosos, todos los atacantes también cuentan con uno para penetrar en una infraestructura o eludir las defensas perimetrales. La cadena de ataque cibernético es un concepto diseñado para identificar y detener los ataques sofisticados antes de que se intensifiquen o afecten a las organizaciones. Abarca múltiples etapas de estos ataques y muestra la relevancia de las amenazas. Las cadenas de ataque cibernéticas se pueden utilizar para mejorar los modelos de gestión y respuesta ante incidentes.
Si se comprenden y se implementan correctamente, aportan beneficios en materia de seguridad. Los equipos de seguridad pueden descubrir sus deficiencias y plantear preguntas futuras que beneficien a la empresa. También informan sobre las estrategias de ciberseguridad de las organizaciones y refuerzan las defensas. En esta guía se explica qué es una cadena de ataque cibernética, se destacan los pasos comunes de una cadena de ataque cibernética y se analiza más a fondo el marco. Si sientes curiosidad por las cadenas de ataque cibernéticas, esta publicación es un excelente punto de partida.
¿Qué es una cadena de ataque cibernético?
La cadena de ataque cibernético es un modelo de defensa basado en la inteligencia creado por primera vez por Lockheed Martin. Su objetivo era ayudar a los equipos de seguridad a desglosar los ciberataques, comprenderlos y dividirlos en etapas. Se trata de un modelo de cadena de ataque cibernético que traza las fases por las que pasa un atacante antes de poder penetrar con éxito en las defensas.
Las etapas de la cadena de ataque cibernético describen la duración de las amenazas persistentes avanzadas (APT) y muestran la secuencia de eventos. Abarcan todas las etapas, desde el reconocimiento inicial hasta la consecución de los objetivos del atacante.
Cadena de ataque cibernético frente a MITRE ATT&CK
Una cadena de ataque cibernético ofrece una visión detallada de los comportamientos y tácticas adversarios. Se utiliza a menudo en equipos rojos, análisis forenses y respuesta a incidentes. El marco MITRE ATT&CK está diseñado para ofrecer una mayor comprensión y proporcionar más adaptabilidad frente a diversas amenazas. Las cadenas de ataque cibernéticas se utilizan para construir bases sólidas y desarrollar estrategias de defensa proactivas. Funcionan muy bien para las organizaciones que utilizan una combinación de sistemas de detección de intrusiones, cortafuegos y soluciones de seguridad modernas.
Cuando una empresa desea obtener una visión más detallada de cómo operan los atacantes en la nube y en los entornos de terminales, el marco MITRE ATT&CK le resulta muy útil. Un protocolo de cadena de ataque cibernético puede detener un ataque en seco y servir como una herramienta valiosa para mejorar las operaciones de seguridad. MITRE ATT&CK es más granular, flexible y mapea técnicas, tácticas y procedimientos (TTP) de ataque del mundo real. MITRE ATT&CK también se puede utilizar para responder a amenazas en cualquier fase del ataque, independientemente de dónde se produzcan en el ciclo de ataque.
Preocupaciones relacionadas con la cadena de destrucción cibernética
El modelo de la cadena de destrucción cibernética no es adecuado para detectar ataques multivectoriales, ya que sigue un enfoque lineal. Solo puede trazar amenazas que siguen una trayectoria predecible. Los procesos de la cadena de destrucción cibernética pueden desmantelarse rápidamente si algún ataque va más allá de la secuencia. La cadena de destrucción cibernética tampoco tiene en cuenta las amenazas internas ni los ataques basados en la web. Se trata de un modelo de detección de amenazas estático que se centra únicamente en las amenazas externas. Dado que se basa en la seguridad perimetral y la detección de malware, no funciona bien en entornos de seguridad basados en la nube.
Aunque la cadena de destrucción cibernética se creó en 2011, el marco no se ha actualizado para adaptarse a la naturaleza cambiante de las amenazas cibernéticas. No es especialmente eficaz contra las amenazas de nivel ransomware como servicio (RaaS) y cuenta con perfiles de detección limitados. La cadena de destrucción cibernética no es flexible y no puede manejar escenarios de ataque complejos. También carece de la inteligencia sobre amenazas que se necesita para analizar desde múltiples fuentes. Incluso puede pasar por alto ataques menos sofisticados, como las tácticas de "rociar y rezar" o las amenazas que no siguen los patrones habituales.
¿Cómo funciona la cadena de destrucción cibernética?
La cadena cibernética de destrucción desglosa un ataque en varios pasos y etapas. Adopta un enfoque estructurado para reconocer cómo se mueven los adversarios y analiza cómo interrumpirlos en cada etapa. No considera un ataque como un evento singular.
Continuará buscando y contrarrestando los movimientos de los atacantes lo antes posible en el ciclo de ataque. Si la organización no implementa sus medidas, puede enfrentarse a graves consecuencias a largo plazo. Básicamente, la cadena de ataque cibernético es una hoja de ruta o un plan que las organizaciones pueden seguir para mantenerse protegidas y defenderse de las últimas amenazas cibernéticas.
threat-intelligence-ops-report1-purple
Las 7 etapas de la cadena de ataque cibernético
La cadena de ataque cibernético consta de siete etapas, que son las siguientes:
1. Reconocimiento
El reconocimiento es la primera etapa del modelo de la cadena de ataque cibernético. Proporciona información sobre posibles objetivos y los estudia. También permite conocer sus vulnerabilidades y descubrir con qué terceros pueden estar conectados estos objetivos. Además, permite explorar otros posibles puntos de entrada, encontrar otros nuevos, y el reconocimiento puede realizarse tanto en línea como fuera de línea.
2. Armamento
Se utilizarán armas cibernéticas y herramientas de cadena de ataque para atacar y penetrar en la red del objetivo. Estas herramientas pueden incluir malware, variantes de ransomware, cargas útiles y otras variantes maliciosas.
3. Entrega
Los adversarios intentarán llegar a los usuarios y enviar una amplia variedad de medios de phishing que contienen enlaces maliciosos. Las líneas de asunto de estos correos electrónicos intentarán persuadir o incitar a la víctima a realizar alguna acción. Una vez que la entrega se ha realizado con éxito, el adversario puede piratear la red de la organización y explotar aún más las vulnerabilidades del hardware y el software.
4. Explotación
Los atacantes intentarán penetrar más profundamente en las redes y aprovechar las vulnerabilidades que han descubierto y explotado en los pasos anteriores. Intentarán avanzar en sus objetivos y moverse lateralmente a través de las redes para alcanzar objetivos más importantes. Si alguno de los objetivos es responsable de la red y no ha implementado las medidas de seguridad necesarias, los atacantes irán a por él.
5. Instalación
La fase de instalación consiste en intentar instalar malware y otras variantes de ransomware en las redes objetivo. Los atacantes intentarán tomar el control de sus sistemas y extraer datos confidenciales. También pueden instalar otras armas cibernéticas, troyanos, puertas traseras e interfaces de línea de comandos.
6. Comando y control (C2)
En la fase de comando y control de la cadena cibernética, los atacantes intentarán comunicarse con el malware que acaban de instalar en sus redes. Darían instrucciones a las herramientas para que llevaran a cabo tareas específicas de forma remota. Los atacantes utilizarían canales de comunicación para controlar los ordenadores que han sido infectados con su malware y botnets. Pueden intentar sobrecargar los sitios web con tráfico o dar instrucciones a los servidores C2 para que lleven a cabo su misión.
7. Acciones sobre los objetivos
Esta es la etapa final en la que los atacantes intentarán llevar a cabo sus objetivos y tener éxito en ellos. Sus objetivos pueden variar en función del tipo de ciberataque que lancen. Algunos atacantes intentarán interrumpir sus servicios, derribarlos o hacer que la organización pase a estar completamente en línea. Pueden distribuir malware para robar datos confidenciales, lanzar ataques de denegación de servicio o utilizar ransomware como medio para extorsionar a la organización.
Limitaciones de la cadena de ataque cibernético
Estas son algunas de las desventajas y limitaciones de las cadenas de ataque cibernético:
- Una de las mayores debilidades de las fases de la cadena de ataque cibernético es que no pueden detectar amenazas internas. Los ataques que utilizan credenciales comprometidas por partes no autorizadas tampoco pueden detectarse. Los ataques basados en la web pasan desapercibidos para el marco de la cadena de ataque cibernético. Algunos ejemplos de ello son las inyecciones SQL, ataques DOS y ataques DDOS, cross-site scripting, y exploits de día cero.
- Los modelos de cadena de ataque cibernética también pueden pasar por alto ataques que no son demasiado complicados. Entre ellos se pueden incluir ejemplos como ataques que no requieren mucha investigación y carecen de sofisticación.
- El marco de la cadena de ataque cibernético puede pasar por alto variantes básicas, especialmente tácticas de ataque indiscriminadas que pueden eludir astutamente los mejores esquemas de detección por pura casualidad.
Ejemplos reales de la cadena de ataque cibernético en acción
A continuación se presentan algunos ejemplos reales de procesos de cadena de ataque cibernético en acción:
Violación de datos de Target (2013)
Los atacantes comenzaron el reconocimiento con el descubrimiento de vulnerabilidades en Fazio Mechanical, el proveedor externo de sistemas de climatización de Target. Tras convertir los correos electrónicos de phishing en armas maliciosas, enviaron la carga útil a los empleados de Fazio y utilizaron credenciales legítimas del proveedor para penetrar en la red de Target. Se cargó malware de rastreo de memoria en las máquinas de punto de venta y, a través de la comunicación de comando y control, se robaron 70 millones de registros de clientes y 40 millones de números de tarjetas de crédito.
Ataque a Sony Pictures Entertainment (2014)
Los atacantes llevaron a cabo un amplio reconocimiento de la infraestructura de Sony antes de utilizar el malware de borrado y las puertas traseras. Los mensajes de spear phishing transportaban las herramientas de malware, utilizando credenciales de administrador robadas, para difundir cargas útiles maliciosas por toda la red. Los canales de comando y control persistieron durante meses, lo que provocó la destrucción de datos, el robo de películas y demandas de rescate para impedir el estreno de The Interview.
Compromiso de la cadena de suministro de SolarWinds (2020)
Los actores maliciosos utilizaron el proceso de actualización de SolarWinds para espiar, utilizando actualizaciones legítimas como armas a través de la puerta trasera SUNBURST. El malware se propagó a 18 000 usuarios a través de compilaciones secuestradas que utilizaban vectores de actualización silenciosos para entregar cargas útiles, y las comunicaciones de comando y control utilizaron algoritmos de generación de dominios con fines de evasión para permitir el acceso a redes comerciales y gubernamentales que contenían información confidencial.Ataque de ransomware a Colonial Pipeline (2021)
Los atacantes del ransomware DarkSide aprovecharon las vulnerabilidades de la VPN de Colonial Pipeline durante la fase de reconocimiento y emplearon cargas útiles adaptadas a los entornos de tecnología operativa. Las credenciales robadas proporcionaron el acceso inicial, aprovechando la reutilización de contraseñas y la falta de autenticación multifactorial. La instalación del ransomware interrumpió las operaciones del oleoducto, y los canales de comando y control observaron el estado del cifrado hasta que se pagó un rescate de 4,4 millones de dólares.
Mejore la seguridad con Cyber Kill Chain y SentinelOne La plataforma de detección de amenazas con IA de SentinelOne puede aplicar el modelo Cyber Kill Chain y ponerlo en práctica. Puede detectar operaciones de reconocimiento con las funciones de supervisión de red de SentinelOne. El motor de seguridad ofensiva de SentinelOne se mantiene varios pasos por delante de los adversarios y puede detectar las amenazas antes de que se produzcan, incluso prediciéndolas. Durante las fases de entrega y armamento, los motores de IA conductual de SentinelOne identifican las URL y los archivos maliciosos antes de que se ejecuten en los puntos finales. Dispondrá de detección en tiempo real sin firmas para identificar nuevas amenazas.Una vez que los atacantes han llegado a la fase de explotación, la tecnología ActiveEDR de SentinelOne supervisa la actividad del sistema para identificar y bloquear las actividades maliciosas. Debe implementar las capacidades de respuesta automatizada de SentinelOne para aislar inmediatamente los puntos finales afectados cuando se produzcan actividades sospechosas. Para la fase de instalación, SentinelOne proporciona capacidades de reversión que pueden revertir los cambios maliciosos. Puede obtener una visibilidad completa de todas las actividades del sistema a través de la consola de gestión unificada de SentinelOne. SentinelOne puede mapear activos, recursos, cuentas y otros eventos en todo el entorno de la nube.
A medida que los atacantes realizan comunicaciones de comando y control, SentinelOne detecta y bloquea las conexiones salientes a servidores maliciosos. SentinelOne puede bloquear los movimientos laterales a través de las redes y evitar la escalada de privilegios. Puede poner en cuarentena las amenazas y luchar contra el ransomware, malware, shadow IT, zero-days, ingeniería social y mucho más. También puede utilizar SentinelOne para realizar copias de seguridad de sus datos confidenciales de forma segura y garantizar una sólida seguridad de los datos. Las herramientas forenses de SentinelOne permiten realizar investigaciones detalladas tras un incidente, lo que le ayuda a comprender los patrones de ataque y a reforzar las defensas contra futuros intentos.
Reserve una demostración en vivo gratuita.
Conclusión
Comprender la cadena de ataque cibernético permite a los equipos de seguridad interrumpir los ataques en cualquier etapa, maximizando la protección contra las amenazas en constante evolución. Puede convertir este marco en estrategias de defensa viables asignando controles de seguridad a cada fase. SentinelOne transforma este modelo teórico en protección práctica a través de su plataforma autónoma, que proporciona visibilidad y capacidad de respuesta en todas las etapas de un ataque. Si necesita una protección completa contra amenazas sofisticadas, SentinelOne le ofrece las herramientas necesarias para una defensa moderna.
Implemente hoy mismo SentinelOne. Detenga los ataques de inmediato.
"FAQs
La cadena de ataque cibernético es un marco de defensa basado en la inteligencia creado por Lockheed Martin que divide los ciberataques en siete pasos que se producen de forma secuencial. Este marco se puede aplicar para comprender las secuencias de los ataques y crear defensas específicas en cada paso. Muestra cómo los atacantes pasan del reconocimiento inicial a la consecución del objetivo.
Las siete fases son: 1) Reconocimiento: recopilación de información sobre el objetivo. 2) Armamento: desarrollo de cargas maliciosas. 3) Entrega: entrega de armas a los objetivos. 4) explotación: ejecución de código malicioso, 5) instalación: obtención de persistencia, 6) comando y control: creación de canales de acceso remoto, y 7) acciones sobre los objetivos: llevanza a cabo de los objetivos del atacante, como el robo o la destrucción de datos.
Las organizaciones implementan el modelo Kill Chain alineando las medidas de defensa con cada etapa del ataque. Pueden instalar herramientas de supervisión de alerta temprana en la fase de reconocimiento, filtros de correo electrónico para bloquear la entrega, protección de endpoints para las fases de explotación e instalación, supervisión de la red para la detección de C2 y controles de protección de datos en el último paso.
La cadena de ataque cibernético le ayuda a encontrar amenazas proporcionándole un medio sistemático para buscar indicadores de ataque en cada etapa. Puede buscar reconocimiento a través de escaneos inusuales, entrega a través de correos electrónicos sospechosos e instalación a través de nuevos archivos o cambios en el registro. Si busca estos indicadores específicos de cada etapa, detectará los ataques en una fase más temprana de su ciclo.
Puede detener los ataques interrumpiéndolos en cualquier punto de la cadena de ataque cibernético. Al detener el reconocimiento mediante el refuerzo de la red, la eliminación de archivos adjuntos maliciosos en el correo electrónico, la aplicación de parches a las vulnerabilidades para evitar su explotación o la interceptación de las comunicaciones C2, interrumpirá los ataques antes de que finalicen. Necesitará varias capas de seguridad dirigidas a diferentes fases para obtener una protección óptima.
Los críticos señalan que la cadena de ataque cibernético es demasiado estructurada para los ataques contemporáneos. Es menos eficaz para combatir las amenazas internas, los ataques web y los entornos en la nube. El modelo presupone un avance lineal, cuando los ataques reales son más bien aleatorios. Debe tener en cuenta que no se ha revisado en profundidad desde 2011, por lo que es menos relevante frente a amenazas más recientes, como el ransomware como servicio.
Lockheed Martin desarrolló la metodología Cyber Kill Chain en 2011 como una de sus iniciativas de defensa basada en la inteligencia. Quizás recuerde que se basaba en la teoría militar de las operaciones "kill chain", pero adaptada a la ciberseguridad. La metodología se desarrolló para ayudar a las organizaciones a comprender mejor y combatir las amenazas persistentes avanzadas (APT) desglosando los ataques en fases específicas y abordables.