10 jul 2017

Las 5 fases de un ciberataque (o de un ataque de Ingeniería Social)

La seguridad de información no es algo que se hace una vez y se olvida. Es un proceso continuo que debe ser parte de todo lo que se hace. Sin embargo, nadie tiene los recursos para hacerlo todo perfectamente. Por lo tanto, el objetivo debe ser la mejora constante.

La mejor forma de comenzar es con la comprensión de los riesgos y el panorama de las amenaza. Esto significa entender a los adversarios, sus objetivos y cómo llevan a cabo sus ataques.

Imaginemos un caso en el que una empresa haya sido golpeada por un brote de ransomware. La compañía está tratando con un ataque dirigido y financieramente motivado, pero el ransomware se está utilizando como una cubierta para ocultar otras actividades delictivas y más precisas: el verdadero objetivo son los datos confidenciales de los clientes.

Entonces, ¿qué sucede en cada fase del ataque?

Fase 1: Recon

Años o meses antes de la detección

El primer objetivo del atacante es identificar los objetivos potenciales para luego llevar adelante su misión. Los atacantes suelen estar motivados por ganancias financieras, acceso a información sensible o daños a la marca.

El atacante puede recopilar información sobre la compañía desde LinkedIn y el sitio web corporativo, mapear la cadena de suministro, obtener planos de construcción, información sobre sistemas de seguridad y puntos de entrada disponibles. Incluso pueden visitar el edificio de la empresa, acudir a un evento o llamar a la secretaria. El atacante podría crear una empresa falsa, registrar dominios y crear perfiles falsos para fines de ingeniería social.

Una vez que el atacante determina qué defensas están en su lugar, eligen su arma. El vector seleccionado es a menudo imposible de prevenir o detectar. Puede ser un exploit de día cero, una campaña de phishing o sobornar a un empleado. Por lo general, hay un impacto mínimo en el negocio.

Finalmente, el atacante está listo para planear el ataque.

Fase 2: Intrusión y presencia

Meses antes de la detección

En la segunda fase del ataque, el atacante busca romper el perímetro corporativo y obtener un punto de apoyo persistente en el medio ambiente.

Se puede haber atacado a la empresa para obtener credenciales, utilizar credenciales válidas para acceder a la infraestructura corporativa y descargar más herramientas para acceder al medio ambiente. Esto es prácticamente imposible de rastrear.

Es muy típico que la organización objetivo no pueda detectar o responder al ataque. Incluso si se detecta, es imposible deducir si nuestra organización era el objetivo final. En la práctica, el atacante siempre tiene éxito.

La intrusión inicial se amplía a un acceso remoto persistente a largo plazo y a todo el entorno de la compañía.

Fase 3: Movimiento lateral

Meses o semanas antes de la detección

Una vez que el atacante ha establecido una conexión a la red interna, busca comprometer sistemas y cuentas de usuario adicionales. Su objetivo es expandir su punto de apoyo e identificar los sistemas que contienen los datos de destino.

El atacante busca servidores para localizar archivos de contraseñas y otros datos confidenciales y mapea la red para identificar el entorno de destino. El atacante suele hacerse pasar por un usuario autorizado. Por lo tanto, es muy difícil detectar el intruso en esta fase.

Fase 4: Escalamiento de privilegios

Semanas o días antes de la detección

El atacante busca identificar y obtener el nivel de privilegio necesario para lograr sus objetivos. Tienen control sobre los canales de acceso y las credenciales adquiridas en las fases anteriores.

Finalmente, el atacante obtiene acceso a los datos que busca. Los servidores de correo, los sistemas de gestión de documentos y los datos de los clientes están comprometidos.

Fase 5: Completar la misión

Día 0

El atacante llega a la etapa final de su misión: exfiltra los datos de los clientes que buscaba, corrompe los sistemas críticos y perturba las operaciones comerciales. Luego destruyen toda evidencia con el ransomware.

si el ataque no es detectado, el costo para la empresa se eleva exponencialmente.

Conclusión

En este ejemplo se alcanzó el objetivo antes de la detección. Esto es típico. Las infracciones de datos son extremadamente difíciles de detectar, porque los atacantes utilizan herramientas comunes y credenciales legítimas.

Por eso es necesario estar alerta en todo momento. Con seguridad, nunca termina.

Fuente: F-Secure

Suscríbete a nuestro Boletín

1 comentario:

  1. Buen síntesis. Efectivamente, la ingeniería social se ha vuelto el mecanismo más directo para poder saltar todas las medidas de seguridad y evitando gastar esfuerzo en romper la seguridad tecnológica.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!