Actualidad

Seguridad empresarial más sólida gracias a la cadena de destrucción de las intrusiones

Por Carlos Sanchiz, Manager Solutions Architecture de Amazon Web Services

Uno de los mayores retos a los que se enfrentan los profesionales de la seguridad hoy en día es el de anticiparse al enorme volumen de ciberataques. Los equipos reciben continuamente indicadores de que sus redes pueden haber sido vulneradas. Priorizar y abordar estas alertas correctamente puede convertirse en una labor interminable, hasta el punto en que resulte prácticamente imposible atenderlas todas. Esto, a su vez, hace que los profesionales vean minada su confianza en la situación de seguridad empresarial.

Sin embargo, en la guerra contra los ciberdelincuentes, hay una forma de que los equipos de seguridad puedan jugar con ventaja: la cadena de destrucción de las intrusiones. Pero ¿qué significa esto?

La «cadena de destrucción» es un término surgido en el mundo militar, que define las diversas fases que conforman una ofensiva. Sin embargo, en 2011, Lockheed Martin aplicó este concepto al mundo de la ciberseguridad, representando con ello el proceso que los ciberdelincuentes utilizan para vulnerar la red de una organización. Comprender bien en qué consiste cada una de estas fases brinda a los equipos de seguridad la capacidad de identificar e interceptar múltiples amenazas en múltiples puntos.

Las empresas que trabajen en la nube están en mejor posición para utilizar una filosofía de cadena de destrucción de forma eficaz. Estas empresas tienen acceso al amplio espectro de controles de seguridad empresarial que les ofrecen sus proveedores, con lo que pueden maximizar las oportunidades para responder ante amenazas. Sin embargo, para hacerlo, primero deberán conocer bien cuáles son las fases de la cadena de destrucción de una intrusión.

Fases de la cadena de destrucción de una intrusión

El modelo de Lockheed Martin constaba de siete fases. Sin embargo, para que el concepto sea válido para las empresas que utilizan la nube, con sus ventajas inherentes en materia de seguridad empresarial, es necesario adaptar aquel modelo como sigue:

1. Reconocimiento pre-intrusión: esta fase representa la labor que hacen los atacantes al investigar y elegir sus objetivos. Esto puede incluir actividades como el escaneo de puertos y vulnerabilidades de sistemas accesibles públicamente.

2. Reconocimiento post-intrusión: una vez los intentos de intrusión del atacante han tenido éxito, este realizará un reconocimiento dentro del entorno de su víctima para cartografiar sus redes.

3. Armamento: llegado este punto, los atacantes planifican y adquieren las herramientas que utilizarán para intentar sacar partido de las vulnerabilidades que hayan identificado en la red de la organización. Así, por ejemplo, podrían desarrollar malware que pueda utilizarse para robar las credenciales de inicio de sesión de los sistemas de sus víctimas.

4. Despliegue: en esta fase, los atacantes transmiten su armamento a sus objetivos, utilizando tácticas como el phishing por correo electrónico, archivos adjuntos malintencionados y páginas web con descargas encubiertas.

5. Aprovechamiento de las vulneraciones: una vez las armas han sido desplegadas en los objetivos, los ciberdelincuentes buscarán sacar partido de las vulnerabilidades que pudiera tener el objetivo. Esto puede incluir aprovechar las vulnerabilidades de sistemas operativos o navegadores web. También es posible lanzar ataques diseñados para engañar al usuario y llevarlo a confiar en algo o alguien que no debería. Esto se suele denominar ingeniería social.

6. Instalación: una vez han aprovechado las vulnerabilidades con éxito, muchos atacantes intentarán mantener su presencia en la red de la organización oculta el máximo tiempo posible, instalando herramientas que les permitan mantener un acceso remoto a su entorno informático.

7. Control: en esta fase, los atacantes mantienen su acceso ilícito a la red de la organización y pueden controlar de forma remota a la infraestructura informática que han vulnerado.

8. Acciones contra objetivos: al fin, los atacantes están en situación de alcanzar sus objetivos, que pueden incluir la sustracción de datos, la merma de la integridad de los datos, el menoscabo de las operaciones del negocio o ataques contra otras víctimas.

Cómo romper la cadena de destrucción de una intrusión

Al descomponer un ataque intrusivo en fases, como acabamos de hacer, los equipos de seguridad pueden crear estrategias defensivas mejor estructuradas, que aborden cada fase de la cadena de destrucción del atacante. Esto les permitirá identificarlos y neutralizarlos más fácilmente. Las medidas defensivas a las que podremos recurrir se pueden dividir en las siguientes ocho acciones: detectar, denegar, interferir, degradar, proteger, responder, restaurar y contener.

En la fase de detección, restringir el acceso del atacante a información puede poner fin a muchos ataques en gestación. De modo similar, es posible denegar recursos al atacante formando a la plantilla. En la fase de interferir, la restricción de privilegios administrativos para el atacante puede evitar que este pueda aprovecharse de las debilidades que encuentre. Sin embargo, para crear un plan integral de defensa será necesario coordinación con el proveedor cloud. Muchos son  capaces de identificar qué servicios y funcionalidades pueden ayudar a las organizaciones.

Coordinarse con el proveedor cloud evitará que se saque partido a las vulnerabilidades

Aconsejamos a los equipos de seguridad que centren sus medidas defensivas en las primeras fases de la cadena de destrucción del atacante. Esto permite reducir significativamente el daño causado por ataques parcialmente exitosos. Al atajar las actividades de los ciberdelincuentes mientras aún están recabando datos sobre nuestras redes, estos no serán capaces de utilizar los datos que hayan podido recabar para sacar partido de las vulnerabilidades. Esto nos permitirá recortar los tiempos de recuperación; reducir el coste y esfuerzo necesarios para responder al ataque y mitigar los posibles perjuicios que este nos pueda causar.

Asimismo, consideramos que una estrategia de ciberseguridad estructurada en torno al concepto de la cadena de destrucción es una opción importante que toda empresa que busque fortalecer su seguridad empresarial y hacer un uso más eficiente de sus recursos.

Comprender mejor a nuestros adversarios y adoptar un protocolo sistémico con el que responder a sus ataques hará que les resulte mucho más difícil atacarnos con éxito. Además, utilizar la cadena de destrucción como concepto central nos da más confianza, en un momento como el actual, en el que la batalla de la ciberseguridad parece imposible de ganar.