Kill Chain 3.0: actualización de la cadena de “Cyber Kill” para una mejor defensa

CiberguerraSeguridad

Corey Nachreiner, director de Estrategia de Seguridad e Investigación de WatchGuard, repasa en este artículo las fases de la Kill Chain actual.

Con algunos ajustes, la cadena Cyber Kill nos puede ayudar a defendernos de atacantes que cuentan con sofisticados medios.

Si forma parte del mundo de la seguridad de la información (INFOSEC), seguramente habrá oído hablar de kill chain (un modelo de defensa diseñado para ayudar a mitigar los ataques más avanzados en la red). Kill Chain detalla en siete fases un ataque exterior a una red. Con ello se facilita la correlación entre cada una de las fases y las diferentes herramientas de defensa existentes. Las siete fases que la forman son:

  • Reconocimiento: aprender sobre el objetivo utilizando diversas técnicas.
  • Creación del arma: adecuación del código malware al medio sobre el que se buscará la infección.
  • Entrega: transmitir el código malware a través de algún medio.
  • Explotación: aprovechar alguna vulnerabilidad en el software o error humano para ejecutar el software malicioso.
  • Instalación: el software malicioso se asegura de poder ejecutarse de forma permanente en el equipo infectado.
  • Comandos & Control (C2): el malware se comunica con su central, proporcionando a los atacantes control remoto.
  • Acciones sobre los objetivos: se procede al robo o a la ejecución de lo que se planteara hacer.

¿Es este modelo eficaz? No todos los profesionales sobre seguridad tienen la misma opinión sobre la eficacia de este modelo de defensa. A algunos les encanta y señalan cómo es usado por varios departamentos de seguridad, mientras que otros piensan que obvia detalles cruciales y sólo cubre cierto tipo de ataques. En mi opinión, hay parte de verdad en ambas visiones y, por eso, me gustaría proponer tres simples pasos para mejorar Kill Chain (llamémosla Kill Chain 3.0):

En primer lugar, se ha de ajustar las fases de la Kill Chain actual. Si se está usando como herramienta defensiva, los departamentos de seguridad tienen que poder tomar medidas en cada uno de los eslabones de la cadena. Por ejemplo, la fase de “creación del arma” de Kill Chain es algo en lo que difícilmente los que se quieren proteger de un ataque pueden hacer algo al respecto. ¿Por qué representar una fase que tiene poco que ver con la defensa? Por otro lado, tal y como otros han señalado, la actual Kill Chain se centra principalmente en la intrusión inicial, no siendo suficiente para reflejar cómo los ataques más sofisticados aprovechan su posición inicial para extenderse por toda la red de la víctima. Kill Chain debe contar con un paso adicional que refleje esta etapa en la que se logra nuevos privilegios y acceso a otros equipos dentro de la propia red. Mi propuesta de Kill Chain 3.0 quedaría de la siguiente forma:

  • Reconocimiento
  • Creación del arma Entrega
  • Explotación
  • Instalación Infección
  • Comandos & Control

>> Salto a nuevos equipos y pivotaje

  • Objetivo / Filtración

Con este cambio básico, ahora es posible asignar un conjunto de defensas viable para cada una de las fases del Kill Chain. Por ejemplo, la detección de escaneo de IPs, puertos, y encabezados enmascarados ayudan contra el “Reconocimiento”; El bloqueo de puertos en el firewall, el uso de IPS, así como el control de aplicaciones combate la “Entrega”; los parches e IPS protegen contra la Explotación; la segmentación de red ayuda con el “Salto a nuevos equipos”… y así sucesivamente.

En segundo lugar, debemos entender que es importante contar con una defensa para cada una de las fases de Kill Chain, y que cada fase es importante por igual. Uno de los conceptos que Kill Chain establece es que cuanto antes se prevenga un ataque en Kill Chain, mejor. Mientras, desde el punto de vista técnico esto es cierto, sospecho que de forma colateral ha supuesto que se invierta más tiempo estableciendo protecciones preventivas en las primeras fases de la cadena y menos tiempo en las últimas. La realidad es que los ataques sofisticados suelen eludir o evadir algunas de nuestras primeras defensas por lo que éstas últimas son de gran ayuda para protegernos de ataques. Si no nos hemos centrado lo suficiente en los últimos niveles de seguridad, como la detección de botnet C&C, la prevención de pérdida de datos y la segmentación de la red interna, no estamos tomando todas las medidas que debiéramos para para prevenir un ataque peligroso. En pocas palabras, si aplica medidas de seguridad para las últimas fases de Kill Chain 3.0, la batalla no estará perdida en caso de una infección inicial.

Por último, es clave contar con un componente de visibilidad que abarque las siete etapas de Kill Chain. El modelo Kill Chain es muy útil identificando aquellas partes donde podríamos detener un ataque de red, pero si no podemos monitorizar cómo un ataque transcurre entre cada una de las fases, estaremos perdiendo datos críticos que podrían sernos de ayuda para protegernos. Las herramientas analíticas y de visibilidad deben ser un componente central de Kill Chain 3.0. Si no se cuenta con una herramienta de visibilidad que gestione los registros de todos los controles de seguridad y correlacione las diferentes alertas de seguridad para poder identificarlo como un solo incidente, es probable que se ignore que se esté produciendo un ataque más sofisticado.

Recapitulando, si se ajustan un poco las etapas de Kill Chain, se pone foco en todas las fases y con igual énfasis (incluyendo las últimas); y se cuenta con una herramienta de visibilidad global para supervisar todo el proceso de Kill Chain, se tiene Kill Chain 3.0: un gran modelo para la prevención de ataques avanzados.

Últimos Whitepapers