Enrique Valverde, sales Engineer Cytomic, a WatchGuard brand

La cambiante realidad del panorama de amenazas y la frecuencia, la sofisticación y la naturaleza dirigida de los adversarios requieren una evolución en las prácticas operativas de seguridad con una combinación de prevención, detección, visibilidad y respuesta ante ataques informáticos. 

La mayoría de las organizaciones ya cuentan con medios para detectar los ataques conocidos, aunque algunos pasen inadvertidos. Lo realmente difícil es detener los ataques desconocidos, que están diseñados para saltarse las contramedidas de seguridad debido a la sofisticación inherente de las técnicas que hoy en día usan los atacantes.  

¿Cómo combatir lo que se desconoce?

Muchas organizaciones han optado por dedicar importantes inversiones a la creación de su propio equipo de “threat hunting” o en delegar en proveedores de servicios gestionados la tarea inevitable y crítica de hacer evolucionar sus técnicas de defensa y buscar mejores herramientas y maneras de mantener la propiedad intelectual y los activos digitales a salvo.

Por otro lado, nos encontramos ante el reto al que se enfrentan los CISO y equipos de TI a la hora de gestionar las amenazas, -crecientes en número y sofisticación-, y cómo esto afecta a su carga de trabajo debido al cambio de paradigma de las amenazas y el giro que las compañías están tomando en lo que respecta a la forma de trabajar, que ha llevado al CISO a tener muchas más cosas en cuenta, de las que hace poco tiempo, consideraba dentro de su estrategia de protección de la compañía.

Comprender cómo funcionan los adversarios y la estrategia de defensa que se debe seguir dentro de la organización confirma que los pilares de esta, debe recoger detección, interrupción del ataque, y recuperación, y entendidos y bien definidos todos los procesos de cada uno de estos, reforzar aquellos puntos débiles de la organización para mejorar estas capacidades de seguridad.

La tecnología, buen aliado en la estrategia de seguridad

De un tiempo a esta parte se han popularizado los marcos y herramientas que ayudan a clasificar Tácticas, Técnicas y Procedimientos o identificar con mayor rapidez el malware. Cyber Kill Chain (CKC) es uno de esos marcos y ha demostrado ser excelente para comprender cómo las organizaciones pueden aumentar significativamente la capacidad de defensa de su entorno al detectar y detener las amenazas en cada etapa del ciclo de vida del ataque.

Elmodelo CKC identifica los pasos que deben completar los adversarios para llegar a su objetivo, logrando entre otras cosas, exfiltrar datos y lo que es peor, consiguiendo persistencia dentro de la organización. Gracias a él, hemos aprendido a detener a los adversarios en cualquier etapa rompiendo la cadena de ataque. Los adversarios deben avanzar por completo por todas las etapas, un total de seis, para tener éxito, mientras que los defensores pueden bloquearlos en cualquier punto para detener el ataque, y para ello se usarán diferentes tecnologías ubicadas en cada uno de los pasos del CKC que permitirán a la organización, detectar, tener visibilidad y hacer a la organización resiliente a un ataque.

Estas fases del Cyber Kill Chain son, en resumen:

• Reconocimiento externo:esta etapa constituye la fase de selección de objetivos, en la que el adversario se dedica a la identificación de detalles de la organización y actividad de los miembros en redes sociales o listas de correo.
• Armamento y empaquetado:el ciberataque puede tomar muchas formas, como la explotación de páginas web, malware personalizado, documentos que aprovechan vulnerabilidades o ataques de Water Hole.
• Distribución: se trata de la transmisión de la carga, ya sea iniciada por el propio objetivo (por ejemplo, cuando el usuario visita una web o abre un archivo malicioso) o iniciado por por el propio ciberatacante (mediante una inyección SQL o el compromiso de la Red de trabajo).
• Explotación: una vez distribuida la carga, el malware compromete al sistema generalmente aprovechando alguna vulnerabilidad, para la que en muchos casos ya existía un parche.
• Instalación: en esta fase, el malware adquiere o busca en el sistema el formato necesario para poder comunicarse con actores externos. En este proceso suele ser silencioso e intenta ganar la permanencia en el endpoint
• Comando y Control: los adversarios toman el control de los activos instalados a través de métodos (generalmente remotos) aprovechando el sistema DNS, el ICMP, webs y redes sociales.
• Acciones en los objetivos: esta es la fase final en la que los adversarios dañan los activos IT de la organización o extraen los datos que perseguían.

Cyber Kill Chain Extendido

Llegados a este punto, tenemos que considerar el concepto de CKC extendido, que se conoce como concepto a considerar en CKC entendiéndose como dos planos diferenciados de compromiso, uno interno y otro externo. Este concepto da a entender que el atacante desarrollará distintas actividades dentro de cada etapa del CKC dependiendo del plano donde esté desarrollando la actividad de compromiso, y cada plano de intrusión conformará diferentes tácticas y técnicas a ejecutar por su parte. De esta forma, podemos considerar que CKC es circular, ya que cada una de las etapas serán ejecutadas repetidamente según el plano en el que se encuentre el atacante dentro de la ejecución de su intrusión. Un aspecto clave del modelo, es que una vez que el adversario ha entrado en la red, repite el CKC haciendo un mayor reconocimiento de los sistemas y moviéndose lateralmente en ella por la propia taxonomía del lugar donde ya se encuentra ubicado, puesto que ya tiene mayor visibilidad al encontrarse en el plano interno.

Aunque es importante señalar quela metodología que usa está basada en CKC en ambos planos, como se ha comentado, una vez ubicado en el plano interno y con acceso a los sistemas, los adversarios emplearán distintos métodos frente a los que usan en el plano externo. Es por eso que desde una perspectiva de protección, es necesario pensar en usar unmodelo de Cyber Kill Chain extendido.

Sin embargo, enfocar toda la estrategia de ciberdefensa de la organización hacia el CKC extendido no siempre resulta sencillo y la protección a desplegar requerirá de una sofisticación para identificar los diferentes vectores de compromiso que puedan ocurrir en el plano interno ya que las soluciones de ciberseguridad tradicionales serán insuficientes

Por ello, la seguridad multicapa que proporcionan los servicios EPDR se configura como una alternativa eficaz, y permite acotar el alcance y dar visibilidad de los problemas de seguridad que puedan estar ocurriendo, así como establecer planes de prevención, contención y respuesta frente a las amenazas desconocidas y APTs.

De este modo, se contribuye a asegurar que el proceso de Cyber Kill Chain sea siempre ininterrumpido, abordando la prevención, detección, visibilidad y respuesta ante las técnicas más avanzadas que usan los adversarios.