19 sep. 2019

Asegurar SWIFT mediante el uso de Cyber Kill Chain (I)

Por Vimal Mani, CISA, CISM, Six Sigma Black Belt

Los ataques cibernéticos están creciendo más rápido que nunca en todo el mundo. Los servicios bancarios y financieros se han convertido en objetivos preferidos para grupos de delincuentes informáticos notorios como Anonymous, Carbanak Group, Metel y GCMAN, 3 que atacan el sector de servicios bancarios y financieros de manera continua.

Después del golpe de alto perfil del Banco Central de Bangladesh4 en 2016, SWIFT se ha convertido en un objetivo preferido para muchos grupos de delincuentes globales. Incluso el famoso grupo Shadow Brokers anunció que ofrecía un servicio mensual de entrega de información basado en datos robados de proveedores de servicios SWIFT y bancos centrales de todo el mundo.

La Figura muestra la arquitectura típica de SWIFT en una organización financiera.

La falta de comprensión de las APT y la cadena de eventos es la causa principal

Muchos pueden decir que los firewall y la infraestructura de TI deficientes causaron el incidente de SWIFT en el Banco Central de Bangladesh. Pero el hecho es que los ataques SWIFT pueden ocurrir en cualquier organización de servicios bancarios y financieros, incluso en aquellos que cuentan con infraestructura de TI, soluciones de seguridad y centros de operaciones de seguridad (SOC) de última generación. Entonces, ¿cuál podría ser la verdadera causa de estos ataques dirigidos a la infraestructura SWIFT?

Un análisis de todos los últimos ataques cibernéticos dirigidos a la infraestructura SWIFT reveló la cadena de eventos que ocurrieron antes de la fase final del ataque, en la que se produjo la exfiltración de datos y/ola emisión de mensajes SWIFT ilegales. Estos eventos no ocurrieron en un solo día. Fueron bien planificados y ejecutados durante un período de tiempo. Estos eventos fueron impulsados ​​básicamente por malware bien estructurado llamado a Amenazas Avanzadas y Persistentes (APT).

En 2011, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) definió un APT de la siguiente manera
Un adversario que posee niveles sofisticados de experiencia y recursos significativos que le permiten crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque (por ejemplo, cibernético, físico y engaño).

Estos objetivos generalmente incluyen el establecimiento y la ampliación de puntos de apoyo dentro de la infraestructura de TI de las organizaciones seleccionadas para fines de filtración de información; socavar o impedir aspectos críticos de una misión, programa u organización; o posicionarse para llevar a cabo estos objetivos en el futuro. Una amenaza persistente y avanzada: (i) persigue sus objetivos repetidamente durante un período prolongado de tiempo; (ii) se adapta a los esfuerzos de los defensores para resistirlo; y (iii) está decidido a mantener el nivel de interacción necesario para ejecutar sus objetivos.
Los APT se pueden describir como:

El malware Stuxnet que se utilizó en Irán, y el malware Slingshot, que se utilizó contra el sector de petróleo y gas en el Reino de Arabia Saudita, son ejemplos clásicos de APT que utilizan técnicas de ataque altamente complejas.

La cadena de actividades utilizadas por los APT se llama Cyber ​​Kill Chain.

Descripción general de Cyber ​​Kill Chain

La mayoría de los principales ataques cibernéticos observados en la historia reciente no fueron planificados y ejecutados en un solo día. Fueron bien pensados, planificados y ejecutados de manera sistemática durante un período de tiempo. Hay una serie de actividades involucradas en la planificación y ejecución de estos ataques cibernéticos: la Cyber ​​Kill Chain, un concepto inventado por Lockheed Martin.

Las fases clave de la cadena Cyber ​​Kill son:
  • Reconnaissance (Reconocimiento)
  • Development of a cyberweapon (Desarrollo de un arma)
  • Delivery of the cyberweapon (Entrega del arma)
  • Exploitation and installation (Explotación e Instalación)
  • Establishment of a command-and-control (C&C) center (Establecimiento de un Centro de Comando y Control)
  • Achievement of the objectives (Logro de los objetivos)

Fuente: ISACA

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!