Sin duda, la mejor manera de atacar una problemática es comprendiendo a qué nos enfrentamos. En este caso, para los que nos dedicamos a trabajar en seguridad cibernética es primordial conocer y entender el patrón de comportamiento de los agentes de amenaza que preparan y ejecutan ciberataques. Esto nos dará una visión amplia de cómo estructurar nuestros sistemas de defensa cibernéticos.
Cuando hablamos de ataque y defensa, ¿qué mejor para dar un enfoque que el militar?
Veamos un poco de que se trata esto.
Kill Chain ó F2T2EA es un término utilizado originalmente en el área militar, específicamente por el departamento de defensa de los Estados Unidos de América. Este describe, en forma sistemática, el proceso de cómo se realiza un ataque en el área militar. Este proceso está dividido en 6 etapas descritas brevemente a continuación:
- Buscar (Find): Identificar el objetivo.
- Fijar (Fix): Fijar la ubicación del objetivo.
- Rastrear (Track): Monitorear los movimientos del objetivo.
- Elegir (Target): Seleccionar un arma apropiada para realizar el ataque.
- Abordar (Engage): Aplicar el arma en el objetivo.
- Evaluar (Assess): Evaluar los efectos del ataque.
La interrupción del atacante en cualquiera de las etapas de la cadena de ataque creará una interrupción completa de la agresión, pero la
consecución de los objetivos en las etapas en cadena por parte del atacante significa el logro de la vulnerabilidad de nuestros sistemas de Información y Control. De ahí su nombre Kill Chain.
consecución de los objetivos en las etapas en cadena por parte del atacante significa el logro de la vulnerabilidad de nuestros sistemas de Información y Control. De ahí su nombre Kill Chain.
Específicamente para el mundo de la seguridad cibernética, Lockheed Martin Corporation, desarrolló una metodología sistemática que llamaron Cyber Kill Chain. Esta toma los principios de la F2T2EA y estudia los ataques cibernéticos, en defensa y ataque, desde una visión militar.
Así, el Cyber Kill Chain está compuesta por siete etapas en las cuales el objetivo para el defensor es cortar el ataque en cualquiera de las etapas de la 1 a la 6, antes de que el atacante logre tomar acciones sobre el objetivo, y la del atacante es llegar y mantenerse en la etapa 7. El estudio de estas etapas bajo escenarios posibles nos da una enfoque amplio y estructurado de las contramedidas necesarias para evitar ataques cibernéticos.
1. Reconocimiento (Reconnaissance): Identificar el objetivo.
En esta etapa el atacante realiza la planificación de las operaciones. En la misma se hacen las investigaciones, se identifican y se eligen el o los objetivo(s). La defensa por su parte tratará de actuar en esta etapa utilizando técnicas de análisis preventivo para aumentar sus posibilidades de detección, intentando revelar las intenciones del atacante sobre algún activo cibernético. Un ejemplo de esto es la protección a un tipo de industria de producción de fertilizantes. La defensa debe estudiar antecedentes de ataques de hacktivistas ambientales, que son enemigos naturales de este tipo de industria a la cual deben proteger.
2. Preparación (Weaponization): Preparación del ataque.
El atacante prepara la forma de ataque tomando en cuenta que ya tiene claro el objetivo; por ejemplo, utilizar un troyano que tome provecho de una vulnerabilidad existente en los sistemas. La defensa en contramedida debe estar actualizado en cuanto a las vulnerabilidades existentes en los sistemas y malwares que puedan ser utilizados para aprovechar dichas vulnerabilidades.
3. Entrega (Delivery): Llevar a cabo la operación.
El atacante ya con el método de ataque definido lleva a cabo la operación introduciendo, por ejemplo, el malware al objetivo. Es la primera y la más importante oportunidad de la defensa de bloquear el ataque, ya que con información de las etapas anteriores, o inclusive la información de referencia de ataques previos, puede ser utilizada para tomar acciones que interrumpan la cadena de ataque.
4. Aprovechamiento (Exploitation):
El atacante busca aprovechar de las vulnerabilidades para ganar acceso a los sistemas. En esta etapa se pone en práctica el término “zero days”, que no es más que aprovechar una vulnerabilidad de seguridad, que el fabricante o usuario no han detectado, para lograr acceso a dicho sistema. El defensor, en aras de evitar el éxito del atacante en esta etapa del ataque, debe, por ejemplo, fortalecer las medidas de credenciales de autenticación, tener un correcto manejo de actualizaciones del sistema y crear una conciencia de uso de las redes y sus herramientas por parte del usuario, para evitar ataques de ingeniería social.
5. Instalación (Installation):
Típicamente el atacante instala un acceso oculto (backdoor) o se implanta en el ambiente de la víctima para mantener acceso por un largo período de tiempo. La defensa debe utilizar mecanismos técnicos (antivirus) y de gestión (procedimientos que incluyan revisión y verificación del origen del software) que supervisen instalaciones de softwares autorizadas o no.
6. Comando y Control- C2 (Command & Control): Implantar control remoto.
Utilizando un malware el atacante abre un canal de comando para permitirse tomar control de manera remota al equipo objetivo. La defensa tiene el último chance de romper la cadena bloqueando o no permitiendo que se instaure el canal de C2. La defensa debe valerse de la utilización de NIPS, NIDS, Firewalls, y otros recursos de esta naturaleza para la no consecución de los objetivos del atacante en esta etapa.
7. Acciones sobre Objetivos (Actions on Objectives): Realizar acciones sobre activos cibernéticos objetivos.
El atacante logra el objetivo de la misión tomando acción sobre el sistema; lo que pase luego depende del conocimiento, las habilidades y las intenciones del atacante. Por lo general, los objetivos pueden ser: El robo de información, violación de la integridad de los datos, tomar el control del sistema, inhabilitar sistemas instrumentados de seguridad, etc. El defensor solo queda para aplicar medidas de respuestas ante ataques, tomando en cuenta que, mientras mayor tiempo se encuentre en este estado, mayores serán los daños o consecuencias desfavorables ocasionadas por el atacante. Estas medidas van desde aislamiento del activo cibernético bajo ataque hasta enviar a paro el proceso. Estas medidas deben ser revertidas
Adicional a esto, se deben realizar investigaciones que incluyen pruebas forenses como verificar que data fue robada, credenciales utilizadas y evaluación de daños ocasionados, etc. Y así poder recopilar información que pueda ser utilizada como nueva línea de defensa en alguna de las etapas iniciales de la cadena de ataque. Recordemos que este es un proceso de aprendizaje continuo.
Como todo lo “bueno” no termina siendo tan “bueno” si no es utilizado de forma correcta, esta metodología tiene sentido para nuestra industria (procesos) siempre y cuando la apliquemos dentro del marco de la seguridad cibernética que nos brinda las normas IEC-62443 (específicamente en su fase de análisis), la cual nos ayuda, además de constituir de manera metódica un sistema cibernéticamente seguro, a también despertar la conciencia de seguridad cibernética en nuestra industria, como elemento de respaldo al correcto funcionamiento de nuestros sistemas de control y sistemas instrumentados de seguridad.
Juan Martinez
CSF Consultoría en Seguridad Funcional
martinezj@grupocsf.com