La idea de la cadena de muerte cibernética o Cyber Kill Chain fue desarrollada por primera vez por Lockheed Martin hace más de una década. La idea básica es que los atacantes realizan un reconocimiento, encuentran vulnerabilidades, introducen malware en los sistemas de las víctimas, se conectan a un servidor de mando y control (C2), se mueven lateralmente para encontrar objetivos de gran valor y, finalmente, exfiltran los datos robados.
Los atacantes pueden ser atrapados en cualquier punto de este proceso y sus ataques pueden ser frustrados, pero este marco de trabajo pasó por alto muchos tipos de ataques desde el principio. Hoy en día es aún menos relevante. La cadena de muerte cibernética era una gran manera de desglosar los pasos clásicos de una vulnerabilidad, también era una herramienta útil para los defensores, que les ayudaba a idear estrategias para detener los ataques en cada punto de la cadena.
La cadena cibernética no es tan buena para ayudar a las empresas a defenderse contra las nuevos ataques de un solo paso, como los cubos abiertos de Amazon S3, contra los ataques DDoS o contra los ataques a terceros en los que había poca o ninguna visibilidad de lo que está haciendo el atacante.
Las estrategias modernas pueden hacer que las empresas estén mejor preparadas para hacer frente a las amenazas actuales, incluyendo la defensa en profundidad y la confianza cero.
¿Por qué la cadena de muerte cibernética está perdiendo relevancia?
Muchos tipos de ataques se saltan pasos. Los ataques de ransomware, por ejemplo, incluyen la instalación de malware y el movimiento lateral, pero pueden omitir el paso de la exfiltración de datos, a menos que los atacantes busquen una extorsión secundaria.
Una API no segura puede permitir a un atacante desviar todos los datos a los que la API tiene acceso y se está convirtiendo en un vector de ataque común.
Los atacantes también pueden aprovechar la economía criminal para saltarse pasos. Por ejemplo, pueden comprar credenciales robadas en el mercado negro y utilizarlas para acceder a la infraestructura corporativa, digamos, utilizando credenciales robadas de Amazon o Kubernetes para poner en marcha operaciones de criptominería.
El ataque de un solo paso más común de todos: el robo de datos de cubos de almacenamiento de Amazon no protegidos o mal protegidos. En enero, se filtró toda la base de datos de clientes de la tienda de ropa masculina Bonobos. La empresa había almacenado un archivo de copia de seguridad en la nube, y no estaba bien protegido. Se filtraron más de 70 gigabytes de información personal de los clientes.
Los datos eran accesibles a través de Internet. El enfoque de los piratas informáticos no requería la mayoría de las fases de la cadena de muerte cibernética, como el armamento, la entrega, la instalación o el mando y el control. La cibercadena asesina está optimizada para un conjunto reducido de ataques, los que implican la creación, entrega e instalación de malware ya que tiene limitaciones cuando se trata de otros tipos de ataques.
Más del 70% de los entornos de Amazon tenían máquinas expuestas a Internet y factores de riesgo como identidades que, si se ven comprometidas, podrían utilizarse para ejecutar ransomware. De hecho, la evolución del modelo de negocio de los ciberdelincuentes es una parte importante de la razón por la que la cadena de muerte cibernética es cada vez menos eficaz.
Cómo los ataques a la cadena de suministro subvierten la cadena de muerte cibernética
También ha habido un aumento significativo de la actividad de ataque a terceros. Los terceros pueden verse comprometidos para obtener acceso a una empresa, como ocurrió con la vulneración de Target en 2013 y su proveedor de HVAC, o más recientemente con el hackeo de SolarWinds.
La brecha puede ocurrir completamente dentro del entorno de un tercero. Por ejemplo, un proveedor de servicios externo podría tener acceso a datos financieros, registros de personal, IP sensible o información de clientes. Si no se tiene visibilidad sobre un tercero -porque es un tercero- se crea una gran ceguera.
Los ataques a terceros no son nuevos, pero su impacto ha crecido enormemente con el aumento de las API, las aplicaciones en la nube y otras integraciones. Ser capaz de conectar los datos y los servicios a través de los límites de la empresa puede ser poderoso y beneficioso para el negocio. Hay una enorme cantidad de interconexiones que tenemos que tener hoy en día, pero puede que no pensemos en la protección. Es extremadamente importante entender cómo se interconecta la tecnología, cómo se protege la información en movimiento y cómo se protege en reposo.
Los atacantes piensan en gráficos, no en cadenas
La tradicional cadena de muerte cibernética puede dar lugar a la idea errónea de que los atacantes siguen un conjunto específico de pasos cuando van tras sus objetivos. Eso no podría estar más lejos de la realidad, los atacantes no siguen las reglas.
En su lugar, los atacantes prueban cualquier cosa que funcione. Si encuentran un obstáculo, lo rodean. Puede que busquen datos, o puede que busquen algo totalmente distinto. En lugar de una línea recta desde el reconocimiento hasta el objetivo, un ciberataque exitoso se parece más a un árbol o a un diagrama gráfico, con nodos y aristas, siendo las aristas los caminos que los atacantes siguen de nodo a nodo.
La clave no es centrarse en una ruta de ataque concreta, sino identificar todas las aristas y eliminar las innecesarias o crear cuellos de botella.
Actualización de la cadena de ciberataques
Una respuesta a los puntos débiles de la cadena de muerte cibernética es el marco ATT&CK de MITRE, que es mucho más detallado e incluye más de 200 actividades diferentes que podrían realizar los atacantes. Es una gran manera de pensar en los diferentes tipos de acciones que puede realizar un atacante. Define muchas de las opciones más comunes que tiene el atacante y obliga a los defensores a pensar de forma más amplia.
El marco de MITRE es una enciclopedia de todos los métodos que los atacantes van a utilizar para atacar tu red, hay mucha potencia detrás. Incluye muchos de los métodos de ataque que serían difíciles de detectar con un enfoque tradicional de la seguridad basado en la cadena de muerte, incluidos los atacantes que van tras los cubos S3, los ataques de denegación de servicio y el compromiso de la cadena de suministro.
En lugar de una cadena de destrucción, ahora hay muchas cadenas de destrucción. No es perfecto, y los atacantes siempre están ideando nuevas metodologías de ataque, pero muchas de las infracciones que se conocen se han producido por fallos en la protección contra las técnicas existentes en el marco MITRE ATT&CK y si respondes a todo lo que hay en el marco MITRE, es poco probable, incluso con un día cero, que alguien te cause una gran pérdida.
Otra evolución de la cadena de muerte cibernética es la cadena de muerte unificada, que combina elementos de la cadena de muerte cibernética de Lockheed Martin y del marco ATT&CK de MITRE. La cadena de muerte unificada fue creada por Paul Pols basándose en la investigación que realizó sobre el modelado de los ataques de Fancy Bear.
La cadena de muerte unificada profundiza más que la cadena de muerte tradicional, pero, a diferencia del ATT&CK de MITRE, sigue centrándose en el orden en que los atacantes realizan sus pasos. Como resultado, es una mejora en ambos, esto es mucho más útil, ya que las tácticas se dividen en técnicas, y las técnicas se dividen en subtécnicas, se actualiza y revisa constantemente, incluyendo mitigaciones y detecciones para que los equipos cibernéticos puedan ir un paso por delante de los actores de las amenazas.
La confianza cero se adapta mejor a los nuevos métodos de ataque
Cuando se trata de adaptarse a los nuevos métodos de ataque, el enfoque más común es ir a la confianza cero.
Es una gran idea en teoría, pero difícil de conseguir en la práctica. Aun así, pasar a una filosofía de confianza cero ayuda a las empresas a dejar atrás la clásica mentalidad de castillo que subyace en la cadena de muerte cibernética.
En esa mentalidad, una vez que alguien atravesaba el perímetro de una empresa, tenía casi vía libre en las redes de la compañía. Básicamente eres un ciudadano y puedes hacer lo que quieras. Hay una cáscara dura y un vientre blando.
La confianza cero ayuda a cambiar esta forma de pensar, de modo que cada aplicación, cada fuente de datos, es ahora su propio castillo. Es una clara defensa contra los ataques tradicionales de la cadena de muerte cibernética. La confianza cero hace más difícil que los atacantes consigan un punto de apoyo inicial, que se muevan lateralmente en una organización y que se introduzcan en las joyas de la corona de la empresa.
Utilizar la cadena de muerte cibernética para entrar en la cabeza del atacante
Sin embargo, la cadena de muerte cibernética tradicional no debería descartarse por completo, ya que puede ser muy útil a la hora de hacer un modelo de amenazas.
Digamos, por ejemplo, que una empresa tiene datos sensibles en un cubo de S3. ¿Cómo lo descubrirá el atacante? ¿Cómo los comprometerá? ¿Cómo sacarán los datos? Entender la cadena de muerte te ayuda a recorrer ese proceso. Hay que volver a la modelización de amenazas para entender dónde están los riesgos, dónde están las debilidades potenciales, y utilizar la cadena de muerte como un escenario de cómo el atacante pasaría por ella.
Luego se pueden imponer medidas de seguridad para asegurarse de que los atacantes no puedan seguir esos pasos. Por ejemplo, si los atacantes pueden encontrar las credenciales que necesitan mirando la forma en que está codificada una aplicación, entonces una solución podría ser asegurarse de que las credenciales codificadas duramente nunca se utilizan en las aplicaciones.
Un actor de la amenaza todavía tendrá que establecer el mando y el control, así como las acciones sobre los objetivos de moverse lateralmente y exfiltrarse. Puede parecer que la cadena de muerte cibernética no se aplica, especialmente cuando, por ejemplo, gran parte del ataque tiene lugar con un tercero pero la cadena sigue siendo el marco válido para analizar estas amenazas. Los equipos de seguridad deben ampliar sus modelos para incluir la posibilidad de que los proveedores o el código fuente se hayan visto comprometidos.
Fuente: CSO
Comments