Cyber Kill Chain: La prevención como arma para los ataques ransomware
25 de Noviembre de 2021Escribe Rogério Soares, Pre-Sales & Professional Services, Director de Quest Software en Latinoamérica
Cyber Kill Chain (CKC) es un concepto militar aplicado a la ciberseguridad donde se enumeran las etapas de un ataque. El modelo describe cómo los atacantes utilizan un ciclo común de métodos para comprometer una organización. Los líderes de seguridad de TI pueden utilizar este método para alinear los programas de seguridad con los de los adversarios y mejorar su capacidad para predecir, prevenir, detectar y responder a las amenazas avanzadas.
De acuerdo con el estudio "2021 Ransomware" de IDC, aproximadamente 37% de las organizaciones a nivel global comentan haber sido víctimas de alguna forma de ataque de ransomware en 2021. El Centro de Quejas de Delitos Cibernéticos del FBI reportó 2.084 informes de ransomware desde enero hasta el 31 de julio de 2021, lo que representa un aumento del 62% año con año. De acuerdo con Gartner, de ahora en adelante los gobiernos estarán más involucrados. Según la consultora, es probable que las naciones promulguen leyes sobre pagos de ransomware. Este año, la consultora estimó que solo el 1% de los gobiernos globales tienen reglas sobre este tipo de ataque, con un aumento esperado del 30% para 2025.
Los ataques de ransomware tienen un ciclo de actuación, lo que genera una serie de datos que ayudan a las organizaciones a comprender las amenazas en general. Al agregar análisis, contexto, relevancia, prioridad y oportunidad, esta información se convierte en inteligencia. Con inteligencia, las empresas entienden cómo prevenir, crear estrategias y preparar a sus equipos de TI ante las amenazas. El resultado son operaciones de seguridad más eficientes y efectivas, además de una mayor seguridad.
La prevención es la única forma de "romper" esta cadena. Con una política de seguridad de la información concisa es posible tener éxito ante ciertos ataques y también podemos mencionar qué tipo de tecnologías y soluciones de protocolo se podrían llevar a cabo. Es importante tener en cuenta que la CKC es cíclica, es decir es un movimiento circular, no lineal. Si bien la metodología utilizada es la misma, los delincuentes utilizarán diferentes métodos dentro de la cadena, entre los que destacan los siguientes:
Reconocimiento: ¿Qué métodos funcionarán con el mayor grado de éxito? Y de ellos, ¿cuáles son los más fáciles de ejecutar en cuanto a inversión de recursos? Combate: seguimiento y control de identidad con soluciones IGA (Administración de Identidades y Gobernanza).
Armamento: ¿Dónde está la oportunidad de que la amenaza tenga éxito? Ya sean aplicaciones web, malware estándar o personalizado, descargas, compras, archivos vulnerables (imágenes, juegos, PDF, etc.). Combate: protección de endpoints y reducción de privilegios de acceso con soluciones PAM (Privileged Access Management).
Entrega: ¿Cuál es el objetivo del ataque y en qué puerto ingresará a la empresa? ¿Cómo se transmitirá la amenaza? Combate: soluciones de protección de terminales.
Explotación: una vez entregada al usuario, computadora o dispositivo, la carga útil maliciosa comprometerá el activo y dominará una posición en el ecosistema. Esto se debe a que aprovecha alguna vulnerabilidad conocida o disponible anteriormente. Combate: seguimiento.
Instalación: La amenaza suele ser sigilosa en su funcionamiento, lo que permite lograr la persistencia o "tiempo de vida". Los delincuentes pueden entonces tomar el control del ecosistema sin alertar a la organización. Combate: soluciones de monitorización y protección de endpoints.
Control: Fase decisiva en la que los delincuentes tienen el control de los activos dentro de la organización a través de métodos de control, por lo general remotos. Aquí es donde el atacante pone sus cartas sobre la mesa y se comunica con la víctima. A menudo, se identifica un host en el que se copian todos los datos internos, luego se comprimen o cifran y están listos para su exfiltración. Combate: monitorización y soluciones PAM.
Acciones y objetivo: Fase final que cubre cómo los delincuentes extraen datos o dañan los activos de TI al mismo tiempo que estudian detenidamente una organización. A continuación, se toman medidas para identificar más objetivos, expandir su dominio dentro de la empresa y extraer más datos. Combate: Plan de recuperación ante desastres.
(*) Rogério Soares: Pre-Sales & Professional Services, Director de Quest Software en Latinoamérica