Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es la cadena de ciberataque?

Y por qué no siempre es el enfoque correcto para los ataques cibernéticos

[10/12/2018] Como profesional de seguridad, es probable que haya escuchado sobre el uso de una cadena de ciberataques, también conocida como ciclo de vida de ataques cibernéticos, para ayudar a identificar y prevenir las intrusiones. Los atacantes están evolucionando en sus métodos, lo que podría requerir que mire la cadena de ciberataque de manera diferente. Lo que sigue es un resumen de lo que es el enfoque de seguridad de la cadena cyber kill, y cómo podría emplearlo en el entorno de amenazas actual.

¿Qué es una cadena de ciberataque?

En el lenguaje militar, una "cadena de ataque" es un modelo basado en fases para describir las etapas de un ataque, que también ayuda a informar las formas de prevenir tales ataques. Estas etapas se conocen como:

  • Encontrar
  • Fijar
  • Seguir
  • Apuntar
  • Comprometer
  • Evaluar

Siempre será mejor detener un ataque que esté al inicio de la cadena de ataque. Entre menos información tenga un atacante, por ejemplo, menos probable es que alguien más pueda usar esa información para completar el ataque más adelante.

La cadena de ciberataque surge de una idea similar, propuesta por Lockheed Martin, donde se describen las fases de un ataque dirigido. Del mismo modo, pueden utilizarse para la protección de la red de una organización. Las etapas se muestran en el gráfico a continuación.

Cadena de ciberataque, cyber kill

Es muy parecido a un robo estereotipado. El ladrón realizará el reconocimiento en un edificio antes de tratar de infiltrarse en él, y luego pasará varios pasos más antes de irse con el botín. El uso de la cadena de ciberataque para evitar que los atacantes ingresen sigilosamente a su red, requiere bastante inteligencia y visibilidad sobre lo que está sucediendo en su red. Lo que necesita saber cuándo algo está ahí que no debería estar, por lo que puede ajustar las alarmas para frustrar el ataque.

Otra cosa a tener en cuenta es que cuanto más cerca del comienzo de la cadena se pueda detener un ataque, menos costosa y lenta será la limpieza. Si no detiene el ataque hasta que ya esté en su red, tendrá que arreglar esas máquinas y hacer mucho trabajo forense para averiguar con qué información se han equivocado.

Veamos las distintas etapas para determinar qué preguntas debe hacerse para decidir si es factible para su organización.

Reconocimiento: Viendo su red desde el exterior

En esta etapa, los delincuentes intentan decidir cuáles son (y no son) buenos objetivos. Desde el exterior, aprenden lo que pueden sobre sus recursos y su red para determinar si vale la pena el esfuerzo.

Idealmente, quieren un objetivo que esté relativamente sin vigilancia y con datos valiosos. La información que los delincuentes pueden encontrar sobre su compañía, y cómo podría utilizarse podrían sorprenderlo.

Las empresas suelen tener más información disponible de la que se dan cuenta. ¿Los nombres y detalles de contacto de sus empleados están en línea? (¿Está seguro? También piense en las redes sociales, no solo en su propio sitio web corporativo). Esto se podría usar para fines de ingeniería social, por ejemplo, para que las personas divulguen nombres de usuario o contraseñas. ¿Hay detalles sobre sus servidores web o ubicaciones físicas en línea? Estos también podrían usarse para ingeniería social, o para restringir una lista de posibles explotaciones que podrían ser útiles para penetrar en su entorno.

Esta es una capa difícil de controlar, particularmente con la popularidad de las redes sociales. Ocultar información confidencial tiende a ser un cambio bastante económico, aunque ser exhaustivo para encontrar la información puede requerir mucho tiempo.

Armamento, entrega, explotación, instalación: Intento de entrar

Estas etapas son donde los delincuentes crean una herramienta para atacar a su objetivo elegido, utilizando la información que han recopilado y dándole un uso malicioso. Cuanta más información puedan usar, más convincente puede ser un ataque de ingeniería social. Podrían usar phishing para obtener acceso a los recursos corporativos internos con la información que encontraron en la página de LinkedIn de su empleado. O podrían poner un troyano de acceso remoto en un archivo que parece tener información crucial sobre un próximo evento, para incitar a su destinatario a ejecutarlo. Si saben qué software ejecutan sus usuarios o servidores, incluida la versión y el tipo de sistema operativo, pueden aumentar las posibilidades de poder explotar e instalar algo dentro de su red.

A estas capas de defensa es donde entra su consejo de seguridad estándar. ¿Su software está actualizado? (Todo, en todas las máquinas. La mayoría de las compañías tienen esa única caja en una habitación trasera que aún funciona con Windows 98. Si alguna vez está conectada a Internet, es como tener una alfombra de bienvenida fuera de su puerta).

¿Utiliza correo electrónico y filtrado web? El filtrado de correo electrónico puede ser una buena manera de detener los tipos de documentos comunes que se utilizan en los ataques. Si necesita que los archivos se envíen de manera estándar, como en un archivo ZIP protegido con contraseña, puede ayudar a sus usuarios a saber cuándo se envían los archivos intencionalmente. El filtrado web puede ayudar a evitar que los usuarios accedan a sitios o dominios incorrectos conocidos.

¿Ha deshabilitado la reproducción automática para dispositivos USB? Dar a los archivos la oportunidad de ejecutarse sin aprobación es rara vez una buena idea desde una perspectiva de seguridad. Es mejor darle al usuario la oportunidad de detenerse y pensar en lo que está viendo antes de que se inicie. ¿Utiliza software de protección de punto final con funcionalidad actualizada? Si bien el software de protección de punto final no está diseñado para hacer frente a nuevos ataques dirigidos, a veces pueden detectar amenazas basadas en comportamientos sospechosos conocidos o explotaciones de software conocidas.

Comando y control (C&C): La amenaza está controlando las cosas

Una vez que haya una amenaza en su red, su siguiente tarea será llamar a su casa matriz y esperar instrucciones. Esto puede consistir en descargar componentes adicionales, pero lo más probable es que se ponga en contacto con un botmaster en un canal de C&C. De cualquier manera, esto requiere tráfico de red, lo que significa que solo hay una pregunta que debe hacerse aquí: ¿tiene un sistema de detección de intrusos configurado para alertar sobre todos los programas nuevos que se comunican con la red?

Si la amenaza ha llegado tan lejos, se han realizado cambios en la máquina y va a requerir mucho más trabajo del personal de TI. Algunas compañías o industrias requieren que se realicen análisis forenses en las máquinas afectadas para determinar qué datos se han robado o manipulado. Las máquinas afectadas deberán limpiarse o reimprimirse. Puede ser menos costoso y lento si se realiza una copia de seguridad de los datos y existe una imagen corporativa estándar que se puede reemplazar rápidamente en la máquina.

Algunos ataques siguen sus propias reglas

Como el año pasado ha demostrado ampliamente, los atacantes no están siguiendo el libro de jugadas. Se saltan pasos. Añaden pasos. Retroceden. Algunos de los ataques recientes más devastadores pasan por alto las defensas que los equipos de seguridad han desarrollado cuidadosamente a lo largo de los años porque están siguiendo un plan de juego diferente. Según un informe publicado este otoño por Alert Logic, el 88% de los ataques combinan los primeros cinco pasos de la cadena de ataque en una sola acción.

Este año, también vimos el aumento del malware de minería en criptomonedas, señala Matt Downing, investigador principal de amenazas de Alert Logic, Inc. "Y las técnicas que utilizaron ignoraron los pasos tradicionales. Todas las técnicas de detección y mitigación en etapa temprana no funcionaron". Además, los atacantes no tienen que exfiltrar datos valiosos y luego tratar de venderlos en el mercado negro, agrega. "Pueden monetizar directamente un activo comprometido".

Los ataques que presentan credenciales comprometidas, donde los atacantes inician sesión usando datos aparentemente legítimos y usan esas cuentas para robar datos, no se ajustan al marco de ataque tradicional. "Ese es un caso en el que, obviamente, la cadena de ataque Lockheed Martin no se aplica", indica Downing.

Según un informe publicado esta primavera por RedLock, el 25% de las empresas tienen actividad de cryptojacking en sus entornos, y el 27% experimentó posibles compromisos de cuenta.

Otro tipo de ataque que no se ajusta al modelo tradicional es el ataque de la aplicación web. "Cuando tiene una aplicación que está expuesta a la red, cualquiera puede venir y visitar", anota Satya Gupta, fundadora y CTO de Virsec Systems, Inc. "Es como tener una puerta abierta en su casa".

Los ataques de aplicaciones web fueron el tipo más común de violación de datos, de acuerdo con el Informe de investigaciones de violaciones de datos de Verizon de este año. La violación de Equifax del año pasado fue solo el último ejemplo de alto perfil. Puede ser difícil detectar este tipo de ataque, y Equifax no detectó tráfico de red sospechoso en su sitio web durante más de dos meses. Equifax no fue el único en no detectar el ataque. Según el DBIR de Verizon, el 68% de las violaciones tardaron "meses o más" en descubrirse, pero los atacantes tardaron solo unos minutos o menos en comprometer un sistema en el 87% de las violaciones.

La violación de Equifax se remonta a una vulnerabilidad en el software del servidor web Apache Struts. Si la compañía hubiera instalado el parche de seguridad para esta vulnerabilidad, podría haber evitado el problema, pero a veces la actualización del software se ve comprometida, como fue el caso en la actualización del software CCleaner de Avast del año pasado.

Según RedLock, el 24% de las organizaciones tienen servicios que se ejecutan en la nube y les faltan parches de alta severidad. También podría haber otros problemas con los parches, y a las compañías les lleva tiempo probar los parches e identificar y actualizar los sistemas vulnerables. Mientras tanto, los atacantes no están perdiendo el tiempo cuando se trata de aprovechar nuevas vulnerabilidades. "Desde el momento de la divulgación de una vulnerabilidad hasta el momento de los ataques automatizados generalizados, generalmente pasa un solo día", anota Jeff Williams, CTO y cofundador de Contrast Security.

Los atacantes utilizan cada vez más una táctica de "rociar y rezar", dicen los expertos, desechando todo lo que tienen para ver qué se atasca, en lugar de hacer el tipo de investigación y desarrollo que implica un ataque dirigido, o uno que usa malware de día cero. "Es mucho más fácil aprovechar las vulnerabilidades existentes", señala Ofer Schreiber, socio de YL Ventures.

Según Gartner, las vulnerabilidades de día cero constituyeron solo el 0,4% de las vulnerabilidades durante la última década. "En los últimos años, hubo un gran revuelo en torno a las amenazas persistentes avanzadas y los días cero, y al encontrar todos estos ataques sofisticados y sigilosos", señala Schreiber. "Pero estos no son la mayoría de los casos. Las organizaciones son violadas y pierden datos muy importantes debido a configuraciones erróneas y vulnerabilidades conocidas que no se remediaron a tiempo. Este es el tema candente de la industria de la ciberseguridad, no necesariamente cómo identificar a estos ataques sofisticados súper espaciales".

Por ejemplo, según RedLock, el 51% de las organizaciones expusieron accidentalmente al menos un servicio de almacenamiento en la nube al público. Además de la aplicación rápida de parches, y asegurarse de que los sistemas estén configurados correctamente, y de que los depósitos de Amazon que contienen datos confidenciales no están abiertos al público, las empresas también deben comenzar a integrar controles de seguridad directamente en las aplicaciones. Se denomina autoprotección de la aplicación en tiempo de ejecución, y Transparency Market Research predice una tasa de crecimiento anual compuesta del 32% para este segmento de mercado, que se espera que pase los tres mil millones de dólares a finales del 2025.

"La seguridad necesita acercarse más a la aplicación y profundizar en los procesos centrales y el uso de la memoria", anota Gupta. "La nueva tecnología de flujo de control, integrada en el nivel de la aplicación, comprende los protocolos y el contexto de la aplicación, y puede asignar el flujo aceptable de una aplicación, similar a un mapa de Google. Si se supone que la aplicación va del punto A al punto B, pero hace un desvío inesperado, entonces algo está definitivamente mal".

Los atacantes también pueden usar una credencial comprometida o aprovechar las contraseñas débiles, predeterminadas o inexistentes. No es necesario instalar ningún malware, no hay comunicaciones con un servidor de C&C ni movimiento lateral. Las contraseñas predeterminadas y codificadas pueden llevarlo a la mayoría de las compañías, señala Joe Neuman, un experto en pruebas de penetración en Coalfire Labs. "Por ejemplo, la última versión de Cisco incluye contraseñas codificadas, la séptima vez que han tenido este problema recientemente".

Otras tecnologías transformadoras, como la Internet de las cosas (IoT, por sus siglas en inglés), DevOps y la automatización de procesos robóticos, también están aumentando la superficie de ataque en formas que no encajan con el modelo tradicional de ciber killchain, anota Lavi Lazarovitz, líder del equipo de investigación cibernética, en los laboratorios CyberArk.

Otro ejemplo de una tecnología transformadora es la estrategia BeyondCorp de Google, señala. "Cambia los controles de acceso desde el perímetro de la red a usuarios individuales y dispositivos sin una VPN tradicional", indica el ejecutivo. "Requiere que las organizaciones expongan la infraestructura para poder trabajar, y posiblemente también exponen los errores que cometieron".

Monetizando el ataque: No se termina hasta que se termina

En el ejemplo de denegación de servicio, la interrupción no es necesariamente el último paso de un ataque. Una vez que han interrumpido, corrompido o exfiltrado con éxito, los atacantes pueden volver y hacerlo de nuevo.

O pueden pasar a otra etapa: la monetización. Según Ajit Sancheti, CEO de Preempt Security, eso puede tomar muchas formas. Por ejemplo, pueden usar infraestructura comprometida para cometer fraude publicitario o enviar correo no deseado, extorsionar a la compañía para obtener un rescate, vender los datos que han adquirido en el mercado negro, o incluso alquilar la infraestructura secuestrada a otros delincuentes. "La monetización de los ataques se ha incrementado dramáticamente", añade.

El uso de Bitcoins hace que para los atacantes sea más fácil y seguro recibir dinero, agrega, lo que contribuye al cambio en la motivación detrás de los ataques. El número de diferentes grupos involucrados en el consumo de datos robados también se ha vuelto más complicado. Esto podría, potencialmente, crear oportunidades para que la empresa trabaje con las autoridades policiales y otros grupos para interrumpir el proceso.

Tomemos, por ejemplo, la información de la tarjeta de pago robada. "Una vez que se sustraen los datos de las tarjetas de crédito, los números deben comprobarse, venderse y utilizarse para obtener bienes o servicios, y esos bienes o servicios, a su vez, deben venderse para convertirlos en efectivo", indica Monzy Merza, jefe de investigación de seguridad de Splunk, Inc. Todo esto está fuera de la cadena tradicional de un ciberataque, añade. Otra área donde el ecosistema del mercado negro afecta el ciclo de vida de los ataques cibernéticos es antes de que comience el ataque. Los atacantes comparten listas de credenciales comprometidas, de puertos vulnerables, de aplicaciones no parchadas.

Eso es un tesoro de frutas de baja altura, indica Nils Swart, jefe de productos de Skyport Systems, Inc. "Espero que haya más conjuntos de datos disponibles", señala el ejecutivo.

Más allá del firewall

El ciclo de vida tradicional de ataques cibernéticos también deja de lado los ataques que nunca afectan a los sistemas empresariales. Por ejemplo, las empresas utilizan cada vez más proveedores de software como servicio (SaaS, por sus siglas en inglés) de terceros para administrar sus datos valiosos. La defensa contra los atacantes que compran sus inicios de sesión en el mercado negro y que ni siquiera tocan la infraestructura propia de una empresa, requiere una estrategia de defensa completamente diferente, como cambiar a un sistema centralizado de inicio de sesión único con autenticación de dos factores.

Luego están los ataques contra proveedores de terceros, o incluso proveedores de cuarto grado. Los bufetes de abogados, firmas de marketing y otros proveedores pueden tener acceso a documentos corporativos confidenciales. Las instituciones financieras a menudo utilizan sistemas de procesamiento de terceros. Las organizaciones de salud confían habitualmente en proveedores externos.

"El problema ha crecido exponencialmente en tamaño dada la cantidad de inicios de sesión que tiene la gente, la cantidad de servicio SaaS que hay, la cantidad de conexiones de terceros que existen", señala Ross Rustici, director senior de Cybereason, Inc. "Podría tener un hack de fin de negocios sin su red central, sobre la que tiene control, que nunca haya sido tocado ".

Para evitar infracciones y multas reglamentarias, las organizaciones necesitan procesos de seguridad que vayan más allá de los límites de sus propias redes. Esto incluye sistemas de gestión de documentos, auditorías de terceros y acuerdos de proveedores que requieren que los proveedores mantengan los controles de seguridad necesarios y que tengan políticas de ciberseguridad adecuadas.

"Ese es un cambio fundamental en la forma en que tenemos que pensar sobre la seguridad", señala Rustici. "Técnicamente y legalmente, es posible. En la práctica, rara vez se hace, y eso tiene que ver con el hecho de que es un cambio de mentalidad y un cambio en la forma en que percibimos el problema. Es la próxima evolución de la ciberseguridad, la próxima evolución de las redes, la próxima evolución de cómo operan las empresas".

Marcos de la cadena de ataque de próxima generación

En lugar de la cadena de ciberataques Lockheed Martin, algunas organizaciones buscan una forma más flexible y completa de pensar acerca de los ataques cibernéticos. Un contendiente líder es el marco de Mitre ATT CK. "Hay un gran movimiento para mostrar las técnicas de ataque reales vinculadas a cada paso en la cadena de ataque, y esto es lo que ha hecho ATT&CK de Mitre", señala Ben Johnson, CTO de Obsidian Security, Inc. "Recibió una recepción y una aceptación increíbles de los vendedores y de la comunidad".

Otro marco es el marco de la amenaza cibernética de la Oficina del Director de Inteligencia Nacional, que fue aprobado por la Oficina de Administración y Presupuesto este otoño. Mounir Hahad, jefe de investigación de amenazas en Juniper Networks, Inc., señala que es más general que Lockheed Martin, y no se centra en el malware, aunque no parece estar despegando. "Todavía no he visto mucho en cuanto a la adopción de este marco por parte de la industria", anota Hahad.

"No deberíamos confiar en los marcos para explicar todo", añade Rod Soto, director de investigación de seguridad en Jask. "La deriva adversa es dinámica por naturaleza. Las herramientas, técnicas y procedimientos de los atacantes continuarán cambiando a medida que las nuevas medidas de defensa los hagan obsoletos. Los marcos como la cadena de ciberataque pueden ser parte de nuestro conjunto de herramientas; pero depende de nosotros, como profesionales de seguridad, el seguir pensando creativamente para estar al día con los atacantes y sus innovaciones".