Cadena de eliminación o proceso de ataque (Kill Chain) en la ciberdefensa

En la ciberseguridad, la cadena de eliminación o proceso de ataque (Kill Chain) representa las etapas de un ataque a los sistemas de información. Desarrollada por Lockheed Martin como marco de seguridad para la respuesta y la detección de incidentes, la cadena de eliminación consta de los siguientes pasos:

Etapa 1. Reconocimiento: el atacante recopila información sobre el objetivo.

Etapa 2. Armamentización: el atacante crea un ataque y contenido malicioso para enviar al objetivo.

Etapa 3. Entrega: el atacante envía el ataque y la carga maliciosa al objetivo por correo electrónico u otros métodos.

Etapa 4. Explotación: se ejecuta el ataque.

Etapa 5. Instalación: el malware y las puertas traseras se instalan en el objetivo.

Etapa 6. Mando y control: se obtiene el control remoto del objetivo mediante un servidor o canal de comando y control.

Etapa 7. Acción: el atacante realiza acciones maliciosas, como el robo de información, o ejecuta ataques adicionales en otros dispositivos desde dentro de la red a través de las etapas de la cadena de eliminación nuevamente.

Para defendernos de la cadena de eliminación, existen acciones de seguridad diseñadas en torno a las etapas de la cadena de eliminación. Estas son algunas preguntas sobre las defensas de seguridad de una empresa en función de la cadena de eliminación:

• ¿Cuáles son los indicadores de ataque en cada etapa de la cadena de eliminación?

• ¿Qué herramientas de seguridad son necesarias para detectar los indicadores de ataque en cada una de las etapas?

• ¿Hay brechas en la capacidad de la empresa para detectar un ataque?

Según Lockheed Martin, comprender las etapas de la cadena de eliminación permite poner obstáculos defensivos, demorar el ataque y, finalmente, evitar la pérdida de datos. La figura muestra cómo cada etapa de la cadena de eliminación equivale a un aumento en la cantidad de esfuerzo y costos para impedir y corregir ataques.

Buenas prácticas de seguridad

Muchas organizaciones nacionales y profesionales han publicado listas de buenas prácticas de seguridad. La siguiente es una lista de algunas de las buenas prácticas de seguridad:

• Realizar una evaluación de riesgos: conocer el valor de lo que protege ayuda a justificar los gastos de seguridad.

• Crear una política de seguridad: cree una política que delinee claramente las reglas de la empresa, las tareas y las expectativas.

• Medidas de seguridad física: restringen el acceso a los centros de datos, a las ubicaciones de servidores y a los extintores.

• Medidas de seguridad de recursos humanos: los empleados deben ser correctamente investigados con comprobaciones de antecedentes.

• Efectuar y probar las copias de respaldo: realice copias de respaldo periódicas y pruebe los datos recuperados de las copias de respaldo.

• Mantener parches y actualizaciones de seguridad: actualice periódicamente los servidores, computadoras, los programas y sistemas operativos de los dispositivos de red.

• Implementar controles de acceso: configure los roles de usuario y los niveles de privilegio, así como una autenticación de usuario sólida.

• Revisar periódicamente la respuesta ante incidentes: utilice un equipo de respuesta ante incidentes y pruebe los escenarios de respuesta ante emergencias.

• Implementar una herramienta de administración, análisis y supervisión de red: seleccione una solución de monitoreo de seguridad que se integre con otras tecnologías.

• Implementar dispositivos de seguridad de la red: utilice routers de nueva generación, firewalls y otros dispositivos de seguridad.

• Implementar una solución de seguridad integral para terminales: utilice software antivirus y antimalware de nivel empresarial.

• Informar a los usuarios: educar a los usuarios y a los empleados sobre los procedimientos seguros.

• Cifrar los datos: cifrar todos los datos confidenciales de la empresa, incluido el correo electrónico.

Algunas de las pautas más útiles se encuentran en los depósitos organizacionales, como el Centro de Recursos de Seguridad Informática del Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés), según se muestra en la figura.

Una de las organizaciones más conocidas y respetadas para la capacitación en ciberseguridad es el SANS Institute. Haga clic aquí para obtener más información sobre SANS y los tipos de capacitación y certificaciones que ofrece.

Detección de ataques en tiempo real

El software no es perfecto. Cuando un hacker explota un defecto de un software antes de que el creador pueda corregirlo, se conoce como ataque de día cero. Debido a la complejidad y tamaño de los ataques de día cero que se encuentran actualmente, no es extraño que los ataques a la red tengan éxito y que el éxito de su defensa ahora se mida según la rapidez con la que una red responde ante un ataque. La capacidad de detectar ataques mientras suceden en tiempo real, así como de detenerlos inmediatamente o en cuestión de minutos, es el objetivo ideal. Desafortunadamente, muchas empresas y organizaciones a día de hoy no pueden detectar los ataques sino hasta días o incluso meses después de ocurridos.

• Análisis en tiempo real de principio a fin: Detectar ataques en tiempo real requiere el análisis activo mediante el firewall y los dispositivos de red IDS/IPS. También debe usarse la detección de malware de cliente/servidor de nueva generación con conexiones a los centros de amenazas globales en línea. En la actualidad, el software y los dispositivos de análisis activos deben detectar anomalías de red mediante la detección de comportamientos y el análisis basado en el comportamiento.

• Ataques DDoS y respuesta en tiempo real: El ataque DDoS es una de las mayores amenazas que requiere la detección y respuesta en tiempo real. Es extremadamente difícil defenderse contra los ataques de DDoS porque los ataques se originan en cientos o miles de hosts zombis y aparecen como tráfico legítimo, como se muestra en la figura. Para muchas empresas y organizaciones, los ataques DDoS ocurren de forma regular y paralizan los servidores de Internet y la disponibilidad de la red. La capacidad para detectar y responder a los ataques DDoS en tiempo real es crucial.