Cyber Kill Chain: gestionar la seguridad con un enfoque militar
Cyber Kill Chain es un concepto basado en tácticas militares que nos ayuda a entender cómo operan los atacantes para hacer una gestión de la seguridad de nuestra información.
Kill Chain es un modelo de ataque que data de los años noventa desarrollado por la Fuerza Aérea de los Estados Unidos. Esta estrategia conocida como F2T2EA se basa en seis pasos para llevar a cabo una operación militar:
También contar con las soluciones de seguridad apropiadas para la realidad de la empresa, manteniéndolas actualizadas y correctamente gestionadas. Esto además se debe extender para todas las aplicaciones que se utilicen en la empresa.
Finalmente, hacer un monitoreo constante del estado de los sistemas, para garantizar que no existen intentos de acceso a la red que pongan en riesgo la seguridad de la información es una buena práctica para conocer la verdadera situación de la infraestructura.
Recordemos que entre menos logre un atacante avanzar en esta cadena, menor será el riesgo de perder información. Este tipo de enfoques nos pueden ayudar a enfocar nuestros esfuerzos en tareas específicas para proteger la seguridad de nuestra información. Recordemos que en el campo de batalla de la seguridad, los atacantes siempre buscan obtener información a cualquier costo, y es nuestra tarea minimizar los daños o incluso tratar de impedirlos.
Fuente: WeLiveSecurity
De lo militar a lo corporativo
En la charla The Library of Sparta brindada en BlackHat, los autores plantearon algunos conceptos que desde lo militar pueden ayudar a gestionar la seguridad de la información en las empresas y hubo uno en particular que me llamó bastante la atención y quisiera compartir con ustedes.Kill Chain es un modelo de ataque que data de los años noventa desarrollado por la Fuerza Aérea de los Estados Unidos. Esta estrategia conocida como F2T2EA se basa en seis pasos para llevar a cabo una operación militar:
- Encontrar (Find)
- Asegurar (Fix)
- Rastrear (Track)
- Elegir blanco (Target)
- Abordar (Engage)
- Evaluar (Assess)
Cómo nos atacan los ciberdelincuentes
Si bien no es un concepto nuevo, pues fue planteado por primera vez en 2010, la idea subyacente que describe cómo es llevado a cabo un ataque dirigido nos puede ayudar a saber cómo proteger nuestra información.- Reconocimiento (Recoonnaissance): Los atacantes inician por la investigación, identificación y selección de objetivos. Esta información la obtienen a partir de sitios web, redes sociales, listas de correo electrónico y en general cualquier actividad que permita identificar el tipo de información que pueda ser útil.
- Militarización (Weaponization): Una vez que se conoce cómo funciona una empresa, qué tecnologías utiliza y quiénes trabajan allí, los atacantes deciden la forma en la que actuarán. Por ejemplo, utilizar un troyano que contenga un exploit para aprovechar una vulnerabilidad específica de los sistemas de la empresa.
- Entrega (Delivery): Una vez definido el método de ataque, los atacantes buscan la forma más conveniente de propagar su amenaza: archivos adjuntos de correo electrónico, sitios vulnerables, dispositivos USB, entre otros.
- Explotación (Exploitation): Una vez que se propaga la amenaza, el atacante espera que el código malicioso sea ejecutado y por lo tanto explotar la vulnerabilidad elegida, en un sistema operativo o aplicación en particular.
- Instalación (Installation): Después de lograr explotar la vulnerabilidad, se la utiliza para acceder al sistema de la víctima para lograr la persistencia en el entorno y tener acceso a la información buscada.
- Mando y Control (Command & Control): Teniendo el control del sistema, el atacante establece los canales de comunicación que a distancia le van a permitir controlar el sistema vulnerado.
- Acciones sobre Objetivos (Actions on Objectives): Una vez se establecen dentro de los sistemas de las víctimas, los atacantes buscarán la mejor forma de obtener información, lograr accesos a aplicaciones específicas o seguir moviéndose dentro de la red para buscar otros objetivos.
Defensa de nuestra información
Toda esta cadena de acciones lleva a la realidad los pasos que podría llevar a cabo un atacante para obtener información sensible de la empresa. Como se puede ver en cada una de las etapas, hay acciones por realizar. Por ejemplo, revisar el tipo de datos que están públicos en la red y la educación a los empleados son fundamentales para minimizar la información que puede obtener un atacante.También contar con las soluciones de seguridad apropiadas para la realidad de la empresa, manteniéndolas actualizadas y correctamente gestionadas. Esto además se debe extender para todas las aplicaciones que se utilicen en la empresa.
Finalmente, hacer un monitoreo constante del estado de los sistemas, para garantizar que no existen intentos de acceso a la red que pongan en riesgo la seguridad de la información es una buena práctica para conocer la verdadera situación de la infraestructura.
Recordemos que entre menos logre un atacante avanzar en esta cadena, menor será el riesgo de perder información. Este tipo de enfoques nos pueden ayudar a enfocar nuestros esfuerzos en tareas específicas para proteger la seguridad de nuestra información. Recordemos que en el campo de batalla de la seguridad, los atacantes siempre buscan obtener información a cualquier costo, y es nuestra tarea minimizar los daños o incluso tratar de impedirlos.
Fuente: WeLiveSecurity
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!