OpiniónSeguridad

Cyber Kill Chain, la fórmula para romper las cadenas de ataque

Pedro Viñuales, VP Global Presales Cytomic, a WatchGuard brand.

Pedro Viñuales, VP Global Presales Cytomic, a WatchGuard brand
Pedro Viñuales, VP Global Presales Cytomic, a WatchGuard brand

La cambiante realidad del panorama de amenazas requiere una evolución en las prácticas operativas de seguridad que combine prevención, detección, visibilidad y respuesta ante ataques.

La mayoría de las organizaciones tienen medios para detectar los ataques conocidos, aunque algunos pasen inadvertidos. Lo difícil es detener los ataques desconocidos, diseñados para saltarse las contramedidas de seguridad debido a la sofisticación inherente de las técnicas que hoy en día usan los atacantes.

Combatir lo que se desconoce

Muchas organizaciones dedican importantes inversiones a la creación de su propio equipo de ‘threat hunting’ o delegan en el MSP la tarea crítica de hacer evolucionar sus técnicas de defensa y buscar mejores herramientas y maneras de mantener sus activos digitales a salvo.

Los pilares de la organización deben contemplar la detección, interrupción del ataque y recuperación

Comprender el funcionamiento de los adversarios y la estrategia de defensa a seguir en la organización confirma que los pilares de esta deben contemplar la detección, interrupción del ataque y recuperación; y han de estar bien definidos todos los procesos de cada uno de estos, reforzando aquellos puntos débiles de la organización para mejorar estas capacidades de seguridad.

Implantar una buena estrategia de seguridad apoyados en la tecnología

De un tiempo a esta parte se han popularizado los marcos y herramientas que ayudan a clasificar tácticas, técnicas y procedimientos o identificar con mayor rapidez el malware. Cyber Kill Chain (CKC) es uno de ellos y ha demostrado ser excelente para comprender cómo las organizaciones pueden aumentar significativamente la capacidad de defensa de su entorno al detectar y detener las amenazas en cada etapa del ciclo de vida del ataque.

CKC identifica los pasos que deben completar los adversarios para llegar a su objetivo, logrando entre otras cosas, exfiltrar datos y, lo que es peor, consiguiendo persistencia dentro de la organización. Gracias a él, hemos aprendido a detener a los adversarios en cualquier etapa rompiendo la cadena de ataque. Los adversarios deben avanzar por completo por todas las etapas -un total de seis- para tener éxito, mientras que los defensores pueden bloquearlos en cualquier punto para detener el ataque usando diferentes tecnologías ubicadas en cada uno de los pasos del CKC que permitirán detectar, tener visibilidad y hacer a la organización resiliente a un ataque.

Cyber Kill Chain Extendido

Llegados a este punto, tenemos que considerar el concepto de CKC extendido, entendiéndose como dos planos diferenciados de compromiso, uno interno y otro externo. Según esto, el atacante desarrollará distintas actividades dentro de cada etapa del CKC dependiendo del plano donde esté desarrollando la actividad de compromiso, y cada plano de intrusión conformará diferentes tácticas y técnicas a ejecutar por su parte. Así, podemos considerar que CKC es circular, ya que cada etapa será ejecutada repetidamente según el plano en el que se encuentre el atacante dentro de la ejecución de su intrusión.

Pero enfocar toda la estrategia de ciberdefensa de la organización hacia el CKC extendido no siempre resulta sencillo y la protección a desplegar requerirá de una sofisticación para identificar los vectores de compromiso que puedan ocurrir en el plano interno, ya que las soluciones de ciberseguridad tradicionales serán insuficientes.

Por ello, la seguridad multicapa que aportan los servicios EPDR se configura como una alternativa eficaz, y permite acotar el alcance y dar visibilidad de los problemas de seguridad que puedan estar ocurriendo, así como establecer planes de prevención, contención y respuesta frente a las amenazas desconocidas y APT.

De este modo, se contribuye a asegurar que el proceso de CKC sea siempre ininterrumpido, abordando la prevención, detección, visibilidad y respuesta ante las técnicas más avanzadas que usan los adversarios.

Computing 803