La cadena de ciberataque, más conocida como Kill Chain, sigue siendo una parte indispensable de la ciberprotección. Como un mecanismo que permite desglosar y comprender las distintas etapas de un ciberataques, Kill Chain facilita la ejecución de estrategias para anticiparse a las amenazas e implementar contramedidas.
Para ello, este modelo se basa en el principio de que, para tener éxito, un ciberataque debe pasar por siete fases consecutivas: reconocimiento, aprovisionamiento de armamento, entrega, explotación, instalación, mando y control y acciones sobre objetivos. La idea subyacente es que rompiendo un eslabón de esta cadena es posible contrarrestar el ciberataque.
Sin embargo, dado que no todos los grupos de ciberdelincuentes siguen secuencialmente estos pasos, pudiendo saltarse o repetir alguno de ellos, este marco ha tenido que evolucionar, dando lugar a versiones alternativas de la cadena de ciberataque.
Un modelo de cadena de ataque en evolución
Aunque como decimos, el modelo Kill Chain sigue siendo una forma eficaz de dividir los ciberataques en pasos secuenciales, su utilidad es más bien teórica, y puede ser menos eficaz contra ataques complejos que implican desinformación, fraude e interferencia, o incluso contra amenazas internas.
Para hacer frente a estas limitaciones de linealidad y granularidad, han surgido nuevos repositorios como MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge o tácticas, técnicas y conocimientos de dominio público de los adversarios), que se desglosa para ofrecer una visión detallada de comportamientos de ataque específicos. Esto ayuda a comprender y simular los ataques más de cerca.
Otros modelos destacados son la Cadena Unificada de Ciberataque, fruto de la fusión de los enfoques anteriores, al combinar “la ciencia del diseño y los métodos de investigación cualitativa”; o el nuevo repositorio que Ben Nimmo y Eric Hutchins, de Meta, han propuesto añadir a la cadena de ciberataque original y que incorpora patrones de comportamiento malicioso en línea, como el espionaje, la desinformación o el fraude, entre otros.
Adicionalmente han surgido otros más específicos para determinados sectores, como el marco de Cadena de ataque para el Ciberfraude, desarrollado por Optiv en respuesta a los ciberataques contra instituciones financieras.
Una herramienta vital para la ciberprotección
Con todos estos modelos, la cadena de ciberataque sigue siendo más que nunca una herramienta indispensable para mantener la ciberseguridad de empresas y organizaciones.
Una estrategia de protección de puestos de trabajo permite detectar el intento de compromiso desde las primeras fases, ayudando a detener el ciberataque antes de que llegue a su fase final.
Las soluciones de detección y respuesta para puestos de trabajo (EDR) son una primera respuesta para proteger los dispositivos finales, complementadas con soluciones de detección y respuesta ampliadas (eXtended Detection & Response – XDR), que agrupan y analizan todos los datos procedentes de los activos de la infraestructura (redes, terminales, etc.).
Adicionalmente, es provechoso implantar cortafuegos y soluciones de detección de intrusiones. Al detectar e impedir la explotación de vulnerabilidades, proporcionar seguridad web mediante el filtrado de URL, y el filtrado de IP y de dominios, o segmentar las redes, las soluciones de protección de redes ofrecen protección, control y rendimiento a través de las distintas etapas del modelo de cadena de ataque.
Aunque originalmente se diseñó para entornos TI tradicionales, es importante señalar que la cadena de ciberataque también puede utilizarse en entornos industriales (OT). En este caso, las siete fases siguen siendo las mismas; solo difieren los criterios de reconocimiento (protocolos y puertos) y el objetivo final (el sistema de control industrial, ICS).
Thomas Dupont, Ingeniero Preventa de Stormshield para Iberia
