¿Qué es la cadena de eliminación cibernética?

En 2011, Lockheed Martin adaptó un concepto militar denominado cadena de eliminación para el sector de ciberseguridad y lo denominó la cadena de eliminación cibernética. Al igual que la cadena de eliminación, la cadena de eliminación cibernética identifica las fases de un ataque y proporciona a los defensores información sobre las tácticas y técnicas típicas de sus adversarios durante cada fase. Ambos modelos también son lineales con la expectativa de que los atacantes sigan cada fase secuencialmente.

Desde que se introdujo por primera vez la cadena de eliminación cibernética, los actores de ciberataques han evolucionado sus tácticas y no siempre siguen todas las fases de la cadena de ciberseguridad. En respuesta, el sector de la seguridad ha actualizado su enfoque y ha desarrollado nuevos modelos. La matriz CK® de MITRE ATT&es una lista detallada de tácticas y técnicas basadas en ataques reales. Usa fases similares a la cadena de eliminación cibernética, pero no sigue un orden lineal.

En 2017 Paul Pols, en colaboración con Fox-IT y la Universidad de Leiden, desarrolló otro marco, la cadena de eliminación unificada, que combina elementos de la matriz CK de MITRE ATT&y la cadena de eliminación cibernética en un modelo con 18 fases.

Reconocimiento

La cadena de ciberataques define una secuencia de fases de ciberataques con el objetivo de comprender la mentalidad de los ciberataques, incluidos sus acentos, herramientas, métodos y técnicas, cómo toman decisiones y cómo evitan la detección. Comprender cómo funciona la cadena de eliminación cibernética ayuda a los defensores a detener los ciberataques en las primeras fases.

Durante la fase de armación, los actores malintencionados usan la información que se descubre durante el reconocimiento para crear o modificar malware con el fin de aprovechar mejor los puntos débiles de la organización de destino.

Una vez creado el malware, los ciberataques intentan iniciar su ataque. Uno de los métodos más comunes es el uso de técnicas de ingeniería social como la suplantación de identidad (phishing) para engañar a los empleados para que entreguen sus credenciales de inicio de sesión. Los actores malintencionados también pueden obtener entrada aprovechando una conexión inalámbrica pública que no es muy segura ni aprovechando una vulnerabilidad de software o hardware detectada durante el reconocimiento.

Después de que los actores de ciberataque se infiltren en la organización, usan su acceso para moverse lateralmente del sistema al sistema. Su objetivo es encontrar datos confidenciales, vulnerabilidades adicionales, cuentas administrativas o servidores de correo electrónico que puedan usar para causar daños en la organización.

En la fase de instalación, los actores malintencionados instalan malware que les proporciona el control de más sistemas y cuentas.

Una vez que los ciberataques han obtenido el control de un número significativo de sistemas, crean un centro de control que les permite operar de forma remota. Durante esta fase, usan ofuscación para cubrir sus pistas y evitar la detección. También usan ataques por denegación de servicio para distraer a los profesionales de seguridad de su verdadero objetivo.

En esta fase, los ciberataques toman medidas para lograr su objetivo principal, que podría incluir ataques de cadena de suministro, filtración de datos, cifrado de datos o destrucción de datos.

Aunque la cadena de ciberseguridad original de Lockhead Martin incluía solo siete pasos, muchos expertos en ciberseguridad lo han ampliado a ocho para tener en cuenta las actividades que realizan los actores malintencionados para generar ingresos del ataque, como el uso de ransomware para extraer un pago de sus víctimas o vender datos confidenciales en la web oscura.

Comprender cómo los actores de ciberataques planean y llevan a cabo sus ataques ayuda a los profesionales de ciberseguridad a encontrar y mitigar vulnerabilidades en toda la organización. También les ayuda a identificar indicadores de peligro durante las primeras fases de un ciberataque. Muchas organizaciones usan el modelo de cadena de eliminación cibernética para aplicar de forma proactiva medidas de seguridad y guiar la respuesta a incidentes.

Inteligencia sobre amenazas

Una de las herramientas más importantes para proteger una organización de ciberamenazas es la inteligencia sobre amenazas. Las buenas soluciones de inteligencia sobre amenazas sintetizan los datos de todo el entorno de una organización y proporcionan información útil que ayuda a los profesionales de seguridad a detectar ciberataques con antelación.

A menudo, los actores malintencionados se infiltran en una organización al adivinar o robar contraseñas. Después de entrar, intentan escalar privilegios para obtener acceso a los sistemas y datos confidenciales. Las soluciones deAdministración de identidades y acceso ayudan a detectar actividades anómalas que pueden ser una indicación de que un usuario no autorizado ha obtenido acceso. También ofrecen controles y medidas de seguridad, como laautenticación en dos fases, que dificultan el uso de credenciales robadas para iniciar sesión.

Muchas organizaciones se mantienen a la vanguardia de las ciberamenazas más recientes con la ayuda de una solución de administración de eventos e información de seguridad (SIEM). Las soluciones SIEM agregan datos de toda la organización y de orígenes de terceros para exponer ciberamenazas críticas para que los equipos de seguridad puedan evaluar y abordar. Muchas soluciones SIEM también responden automáticamente a determinadas amenazas conocidas, lo que reduce el número de incidentes que un equipo necesita investigar.

En cualquier organización hay cientos o miles de puntos de conexión. Entre los servidores, equipos, dispositivos móviles y dispositivos de Internet de las cosas (IoT) que usan las empresas para llevar a cabo negocios, puede ser casi imposible mantenerlos todos actualizados. Los actores malintencionados lo saben, por lo que muchos ciberataques comienzan con un punto de conexión en peligro. Detección y respuesta de puntos de conexión Explore cómo la tecnología EDR ayuda a las organizaciones a protegerse contra ciberamenazas graves, como ransomware.Soluciones de detección y respuesta de puntos de conexión ayudan a los equipos de seguridad a supervisarlas en busca de amenazas y a responder rápidamente cuando detectan un problema de seguridad con un dispositivo.

Las soluciones de detección y respuesta extendidas (XDR) llevan la detección y respuesta de puntos de conexión un paso más allá con una única solución que protege los puntos de conexión, las identidades, las aplicaciones en la nube y los correos electrónicos.

No todas las empresas tienen recursos internos disponibles para detectar y responder eficazmente a las amenazas. Para aumentar su equipo de seguridad existente, estas organizaciones recurren a proveedores de servicios que ofrecen detección y respuesta administradas. Estos proveedores de servicios se encargan de supervisar el entorno de una organización y responder a las amenazas.

Aunque comprender la cadena de eliminación cibernética puede ayudar a las empresas y los gobiernos a prepararse proactivamente y responder a ciberamenazas complejas y de varias fases, confiar en ella exclusivamente puede hacer que una organización sea vulnerable a otros tipos de ciberataques. Algunas de las críticas comunes de la cadena de ciberseguridad son las siguientes:

• Centrado en el malware. El marco de la cadena de eliminación cibernética original se diseñó para detectar malware y responder a este y no es tan eficaz contra otros tipos de ataques, como un usuario no autorizado que obtiene acceso con credenciales en peligro.

• Ideal para la seguridad perimetral. Con énfasis en la protección de los puntos de conexión, el modelo de cadena de eliminación cibernética funcionaba bien cuando había un único perímetro de red para proteger. Ahora, con tantos trabajadores remotos, la nube y un número cada vez mayor de dispositivos que acceden a los recursos de una empresa, puede ser casi imposible solucionar todas las vulnerabilidades de los puntos de conexión.

• No está equipado para las amenazas internas. Los participantes de Insider, que ya tienen acceso a algunos sistemas, son más difíciles de detectar con un modelo de cadena de eliminación cibernética. En su lugar, las organizaciones deben supervisar y detectar los cambios en la actividad del usuario.

• Demasiado lineal. Aunque muchos ciberataques siguen las ocho fases descritas en la cadena de ciberseguridad, también hay muchas que no combinan varios pasos en una sola acción. Las organizaciones que están demasiado centradas en cada una de las fases pueden perderse estas ciberamenazas.

Desde 2011, cuando Lockhead Martin presentó por primera vez la cadena de eliminación cibernética, ha cambiado mucho en el panorama tecnológico y de ciberamenaza. La informática en la nube, los dispositivos móviles y los dispositivos IoT han transformado el funcionamiento de las personas y las empresas. Los actores de ciberataques han respondido a estas nuevas tecnologías con sus propias innovaciones, incluido el uso de la automatización y la inteligencia artificial para acelerar y mejorar sus ciberataques. La cadena de eliminación cibernética ofrece un excelente punto de partida para desarrollar una estrategia de seguridad proactiva que tenga en cuenta la mentalidad y los objetivos de los ciberataques. Seguridad de Microsoft ofrece una plataforma de SecOps unificada que reúne XDR y SIEM en una solución adaptable para ayudar a las organizaciones a desarrollar una defensa multicapa que protege todas las fases de la cadena de eliminación cibernética. Además, las organizaciones también se están preparando para las ciberamenazas emergentes basadas en inteligencia artificial invirtiendo en inteligencia artificial para soluciones de ciberseguridad, como Seguridad de Microsoft Copilot.