La capacidad de Respuesta a Incidentes (IR por sus siglas en inglés) se ha vuelto un componente imprescindible en el ramo de la ciberseguridad para cualquier organización. Los ciber-ataques no solo se han hecho más frecuentes y diversos, si no que más sofisticados, disruptivos y dañinos.

Aunque se pueden disminuir los riesgos de ser víctima de un ataque, no todos los incidentes de seguridad pueden evitarse. De tal manera es necesario contar con capacidades de respuesta, que permitan detectarlos de manera rápida, minimizando (o de ser posible evitando) los daños, mitigando las debilidades que fueron explotadas y restaurando la operación de la organización.

Para poder dar una efectiva respuesta ante un incidente de ciberseguridad, es necesario conocer las estrategias, herramientas, vulnerabilidades, etc. de las cuales se valen o se aprovechan los adversarios, para lograr sus objetivos, en pocas palabras, tenemos que conocer al enemigo.

Un modelo que nos puede servir como referencia (diseñado por Lockheed Martin) que identifica y describe los pasos que típicamente sigue un adversario para lograr un ataque o irrupción efectiva es Cyber Kill Chain (CKC7), el cual se describe enseguida.

Cyber Kill Chain (CKC7)

Es un modelo que identifica los pasos o el proceso que un adversario debe completar (o suele llevar a cabo), para lograr su objetivo (robo de información, ddos, espionaje, etc).

Dicho modelo se compone de 7 pasos, los cuales permiten mejorar la visibilidad de un ataque y enriquece el entendimiento del analista, sobre las tácticas, técnicas y procedimientos utilizadas por el adversario:

1. Reconocimiento: Fase de planeación de la operación.
   • Harvesting emails addresses, BEC (Bussiness Email Compromise).
   • Identificar empleados en redes sociales.
   • Descubrir servidores visibles desde internet.
2. Armamentización: Fase de preparación de la operación.
   • Normalmente se utiliza una herramienta automatizada denominada “armamentizador” (weaponizer), que acopla tanto el exploit como el malware en un payload para su entrega (Metasploit).
3. Entrega: Se transmite el malware al objetivo, se inicia la operación.
   • Directamente en servidores web, correos maliciosos, sitios web comprometidos (ataques Watering hole).
4. Explotación: Obtención de acceso a la víctima.
   • Explotación de vulnerabilidades de software, hardware o humana.
   • Por medio de un exploit (zero day), los cuales suelen ser diseminados para aprovecharse de vulnerabilidades en sistemas operativos de servidores, estaciones de trabajo, celulares.
5. Instalación: Se establece un punto de desembarco hacia la víctima.
   • Típicamente se instala un backdoor persistente o implante en ambiente de la víctima.
   • Se crea punto de persistencia agregando, servicios, llaves de registro de auto-ejecución, etc.
6. Comando & Control (C2): Control remoto de objetivos comprometidos.
   • Se establece un canal de comunicación en dos vías a la infraestructura C2.
   • Los canales de comunicación C2 más comunes se establecen sobre protocolos DNS, web, email.
7. Acciones sobre la víctima: Se logra el objetivo de la misión
   • Fuga de información (credenciales empleados, clientes, operación de la empresa, etc).
   • Escalación de privilegios.
   • Movimientos laterales en la infraestructura.
   • Cifrado de información (Ransomware).

Entre más lejos llegue el adversario en esta secuencia de pasos, el impacto será mayor. De tal manera, los encargados de las tareas de ciberseguridad deben tener como objetivo, neutralizar en las primeras etapas del CKC7 el ataque y de esta manera minimizar o evitar alguna afectación en la organización.

Como es bien sabido, las herramientas, estrategias, tecnologías, que utilizan los adversarios están en constante evolución y son cada vez más sofisticadas, pero normalmente siguen los pasos mencionados en este modelo, por lo que es un buen punto de partida el tener bien claro el camino seguido por los adversarios.

En conclusión, CKC7 es de gran utilidad para establecer y/o perfeccionar políticas de seguridad en primera instancia y en segundo lugar, ayuda a ir definiendo las tecnologías requeridas (Modelado de amenazas), asi como el nivel de conocimientos y entrenamiento que debe tener el personal del área de ciberseguridad, para lograr una efectiva Respuesta a Incidentes.

En un siguiente artículo de nuestro blog, mencionaremos las recomendaciones generales a llevar a cabo para dar respuesta a incidentes de seguridad informáticos, que se puede tomar como base de referencia, ante esta estrategia que es compleja, exhaustiva y siempre en constante evolución.

Fuentes relacionadas:

•  The Cyber Kill Chain