Conceptos de Ciberguerra: Intrusion Kill Chain
En la terminología militar norteamericana "Kill Chain" es la secuencia de eventos que se produce durante un ataque contra una posición enemiga. Se compone básicamente de los siguientes elementos:
Este concepto ha sido adoptado de forma interesante por algunos expertos en ciberguerra con términos como "cyber kill chain" o "intrusion kill chain".
La adopción de este término se debe a que el proceso de "kill chain" encaja bastante bien con el proceso tradicional de "hacking" por sus similitudes (sobre todo con el concepto APT) y porque permite planificar las acciones tácticas de forma ordenada.
El desarrollo de eventos típicos de una "intrusion kill chain" es:
En el entorno cyber-ofensivo también es importante minimizar los tiempos entre fases, para reducir la probabilidad de que las vulnerabilidades sean corregidas, para evitar que las puertas traseras sean detectadas y para dificultar que puedan llevarse a cabo acciones defensivas.
Este proceso ofensivo-defensivo está bastante bien desarrollado en un documento de LockheedMartin de lectura muy recomendable: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains [PDF].
Fuente: Areopago21
- Identificación del objetivo.
- Despliegue de fuerzas hacia el objetivo.
- Decisión y orden de atacar.
- Destrucción del objetivo.
Este concepto ha sido adoptado de forma interesante por algunos expertos en ciberguerra con términos como "cyber kill chain" o "intrusion kill chain".
La adopción de este término se debe a que el proceso de "kill chain" encaja bastante bien con el proceso tradicional de "hacking" por sus similitudes (sobre todo con el concepto APT) y porque permite planificar las acciones tácticas de forma ordenada.
El desarrollo de eventos típicos de una "intrusion kill chain" es:
- Reconocimiento: Recogida de información previa (direcciones IP, emails, nombres, URLs).
- Preparación de las armas: Adquisición y adaptación de las herramientas de hacking necesarias (exploits, payloads, troyanos).
- Entrega: Envío del exploit (red local, Internet, email, disco USB).
- Explotación: Aprovechamiento de una vulnerabilidad o descuido para ejecutar código en el objetivo.
- Instalación: Instalación de malware, puertas traseras y herramientas en el objetivo.
- Comando y Control: Comunicación remota con el malware y las puertas traseras instaladas.
- Acciones en el objetivo: Cumplimiento de las metas de la misión.
En el entorno cyber-ofensivo también es importante minimizar los tiempos entre fases, para reducir la probabilidad de que las vulnerabilidades sean corregidas, para evitar que las puertas traseras sean detectadas y para dificultar que puedan llevarse a cabo acciones defensivas.
Este proceso ofensivo-defensivo está bastante bien desarrollado en un documento de LockheedMartin de lectura muy recomendable: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains [PDF].
Fuente: Areopago21
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!