El término cadena de muerte se utilizó originalmente como un concepto militar relacionado con la estructura de un ataque ; que consiste en la identificación del objetivo, el envío de la fuerza al objetivo, la decisión y orden de atacar al objetivo, y finalmente la destrucción del objetivo. [1] Por el contrario, la idea de "romper" la cadena de muerte de un oponente es un método de defensa o acción preventiva. [2] Más recientemente, Lockheed Martin adaptó este concepto a la seguridad de la información , utilizándolo como un método para modelar intrusiones en una red informática . [3]El modelo de cyber kill chain ha sido adoptado en la comunidad de seguridad de la información. [4] Sin embargo, la aceptación no es universal, y los críticos señalan lo que creen que son fallas fundamentales en el modelo. [5]
La cadena de asesinatos militar
F2T2EA
Un modelo de cadena de muerte militar es el "F2T2EA", que incluye las siguientes fases:
- Buscar: identifica un objetivo. Encuentre un objetivo dentro de los datos de vigilancia o reconocimiento o mediante medios de inteligencia.
- Arreglo: arregla la ubicación del objetivo. Obtenga coordenadas específicas para el objetivo a partir de datos existentes o mediante la recopilación de datos adicionales.
- Seguimiento: supervisa el movimiento del objetivo. Mantenga un registro del objetivo hasta que se tome la decisión de no atacar al objetivo o hasta que el objetivo sea exitoso.
- Objetivo: seleccione un arma o recurso apropiado para usar en el objetivo para crear los efectos deseados. Aplicar las capacidades de mando y control para evaluar el valor del objetivo y la disponibilidad de armas adecuadas para atacarlo.
- Engage: aplica el arma al objetivo.
- Evaluar: evalúe los efectos del ataque, incluida la información recopilada en el lugar.
Este es un proceso integrado de extremo a extremo que se describe como una "cadena" porque una interrupción en cualquier etapa puede interrumpir todo el proceso. [6] [7]
Terminología anterior
Las "Cuatro F" es un término militar utilizado en el ejército de los Estados Unidos, especialmente durante la Segunda Guerra Mundial.
Diseñadas para ser fáciles de recordar, las "Cuatro F" son las siguientes:
- Encuentra al enemigo - Localiza al enemigo
- Repara al enemigo: inmovilízalo con fuego de supresión
- Lucha contra el enemigo - Enfréntate al enemigo en combate o flanquea al enemigo - Envía soldados a los lados o la retaguardia del enemigo
- Acaba con el enemigo: elimina a todos los combatientes enemigos
Terminología propuesta
Las "Cinco F" es un término militar descrito por el Mayor Mike "Pako" Benítez, un oficial de sistemas de armas del F-15E Strike Eagle que sirvió en la Fuerza Aérea de los Estados Unidos y el Cuerpo de Marines de los Estados Unidos.
Diseñado para actualizar la Kill Chain para reflejar sistemas de armas actualizados, autónomos y semiautónomos, las "Cinco F" se describen en ES SOBRE EL TIEMPO: LA NECESIDAD DE PRESIONAR PARA EVOLUCIONAR LA CADENA DE MATAR [8] de la siguiente manera:
- Find encapsula la unidad de esfuerzo de la preparación conjunta de inteligencia del entorno operativo, haciendo coincidir los activos de recolección con la intención del comandante y las áreas de interés específicas. Esto conduce inevitablemente a detecciones, que pueden clasificarse además como un objetivo emergente si cumple con la intención.
- Fix se describe doctrinalmente como "identificar un objetivo emergente como digno de participación y determina su posición y otros datos con suficiente fidelidad para permitir la participación".
- El fuego implica comprometer fuerzas o recursos (es decir, liberar una munición / carga útil / prescindible)
- Finalizar implica el empleo con las autoridades de aprobación de huelgas (es decir, golpear un objetivo / disparar energía dirigida / ataque electrónico destructivo). Esto es similar a un elemento de tierra que ejecuta maniobras para contactar, pero luego se adhiere a las reglas de combate prescritas una vez que llega al punto de fricción.
- La retroalimentación cierra el bucle operativo OODA con un paso de evaluación, en algunas circunstancias denominado "Evaluación de daños por bombas".
Capacidad nuclear de Corea del Norte
Un nuevo plan de contingencia militar estadounidense llamado "Kill Chain" es, según se informa, el primer paso en una nueva estrategia para utilizar imágenes satelitales para identificar los sitios de lanzamiento, las instalaciones nucleares y la capacidad de fabricación de Corea del Norte y destruirlos de forma preventiva si un conflicto parece inminente. El plan fue mencionado en una declaración conjunta de Estados Unidos y Corea del Sur. [9] [10]
La cadena de muerte cibernética
Fases de ataque y contramedidas
Los científicos informáticos de la corporación Lockheed-Martin describieron un nuevo marco o modelo de "cadena de destrucción de intrusiones" para defender las redes informáticas en 2011. [6] Escribieron que los ataques pueden ocurrir en fases y pueden interrumpirse mediante controles establecidos en cada fase. Desde entonces, las organizaciones de seguridad de datos han adoptado la "cadena de muerte cibernética" para definir las fases de los ataques cibernéticos . [12]
Una cyber kill chain revela las fases de un ciberataque: desde el reconocimiento temprano hasta el objetivo de la exfiltración de datos. [13] La cadena de eliminación también se puede utilizar como una herramienta de gestión para ayudar a mejorar continuamente la defensa de la red. Según Lockheed Martin, las amenazas deben progresar a través de varias fases en el modelo, que incluyen:
- Reconocimiento: el intruso selecciona el objetivo, lo investiga e intenta identificar las vulnerabilidades en la red objetivo.
- Armamento: Intruder crea un arma de malware de acceso remoto, como un virus o un gusano, adaptada a una o más vulnerabilidades.
- Entrega: el intruso transmite el arma al objetivo (por ejemplo, a través de archivos adjuntos de correo electrónico, sitios web o unidades USB)
- Explotación: se activa el código del programa del arma de malware, que toma medidas en la red objetivo para aprovechar la vulnerabilidad.
- Instalación: el arma de malware instala un punto de acceso (por ejemplo, "puerta trasera") que puede utilizar un intruso.
- Comando y control: el malware permite al intruso tener acceso persistente "con las manos en el teclado" a la red de destino.
- Acciones sobre el objetivo: el intruso toma medidas para lograr sus objetivos, como la exfiltración de datos, la destrucción de datos o el cifrado para obtener un rescate.
Se pueden tomar cursos de acción defensivos contra estas fases: [14]
- Detectar: determinar si un atacante está husmeando
- Denegar: evitar la divulgación de información y el acceso no autorizado
- Interrumpir: detener o cambiar el tráfico saliente (al atacante)
- Degradar: comando y control de contraataque
- Engañar: interferir con el mando y el control.
- Contener: cambios en la segmentación de la red
Una investigación del Senatex de EE. UU. Sobre la violación de datos de Target Corporation de 2013 incluyó un análisis basado en el marco de la cadena de muerte Lockheed-Martin. Identificó varias etapas en las que los controles no previnieron ni detectaron la progresión del ataque. [11]
Cadenas de muerte alternativas
Diferentes organizaciones han construido sus propias cadenas de muerte para intentar modelar diferentes amenazas. FireEye propone un modelo lineal similar al de Lockheed-Martin. En la cadena de muerte de FireEye se enfatiza la persistencia de amenazas. Este modelo enfatiza que una amenaza no termina después de un ciclo. [15]
- Reconocimiento
- Intrusión inicial en la red
- Establecer una puerta trasera a la red
- Obtener credenciales de usuario
- Instalar varias utilidades
- Escalada de privilegios / movimiento lateral / exfiltración de datos
- Mantener la persistencia
MITRE mantiene un marco de cadena de muerte conocido como MITRE ATT & CK® . Los modelos de marcos de tácticas, técnicas y procedimientos utilizados por agentes malignos y es un recurso útil para ambos equipos rojos y equipos azules . Los pentesters pueden emular este comportamiento durante un compromiso para representar escenarios del mundo real y ayudar a sus clientes a determinar la efectividad de las contramedidas defensivas. [16] El marco ATT & CK tiene 3 matrices principales: Enterprise, Mobile e ICS . Enterprise Matrix tiene categorías para Windows, macOS, Linux y Cloud. Las categorías de Windows Enterprise son:
- Reconocimiento: el adversario está tratando de recopilar información que puede utilizar para planificar operaciones futuras.
- Desarrollo de recursos: el adversario está tratando de establecer recursos que pueden usar para respaldar las operaciones.
- Acceso inicial: se utiliza para obtener un punto de apoyo inicial dentro de una red.
- Ejecución: técnica que da como resultado la ejecución de código en un sistema local o remoto.
- Persistencia: método utilizado para mantener una presencia en el sistema
- Escalada de privilegios: resultado de las acciones utilizadas para obtener un mayor nivel de permiso
- Evasión de defensa: método utilizado para evadir la detección o las defensas de seguridad.
- Acceso con credenciales: uso de credenciales legítimas para acceder al sistema
- Descubrimiento: técnica posterior al compromiso utilizada para obtener conocimiento interno del sistema
- Movimiento lateral: movimiento de un sistema a otro a través de la red.
- Recopilación: proceso de recopilación de información, como archivos, antes de la exfiltración.
- Mando y control: mantener la comunicación dentro de la red objetivo
- Exfiltración: descubrimiento y eliminación de información confidencial de un sistema.
- Impacto: técnicas utilizadas para alterar los procesos operativos y comerciales [17]
Críticas a la cyber kill chain
Entre las críticas al modelo de cadena de muerte cibernética de Lockheed Martin como herramienta de evaluación y prevención de amenazas está que las primeras fases ocurren fuera de la red defendida, lo que dificulta la identificación o defensa de acciones en estas fases. [18] De manera similar, se dice que esta metodología refuerza las estrategias defensivas tradicionales basadas en el perímetro y en la prevención de malware. [19] Otros han notado que la cadena de muerte cibernética tradicional no es adecuada para modelar la amenaza interna. [20] Esto es particularmente problemático dada la probabilidad de ataques exitosos que violen el perímetro de la red interna, razón por la cual las organizaciones "necesitan desarrollar una estrategia para lidiar con los atacantes dentro del firewall. Deben pensar en cada atacante como [un] potencial persona enterada". [21]
La cadena de muerte unificada
Una cadena de destrucción unificado fue desarrollado en 2017 por Paul Pols en colaboración con Fox-IT y de la Universidad de Leiden para superar las críticas comunes contra la cadena cibernética matanza tradicional, mediante la unión y extender Lockheed Martin 'cadena de destrucción s y MITRE ‘ATT y marco CK s. La versión unificada de la cadena de muerte es una disposición ordenada de 18 fases de ataque únicas que pueden ocurrir en ataques cibernéticos de extremo a extremo, que cubre las actividades que ocurren fuera y dentro de la red defendida. Como tal, la cadena de muerte unificada mejora las limitaciones de alcance de la cadena de muerte tradicional y la naturaleza independiente del tiempo de las tácticas en ATT & CK de MITRE. El modelo unificado se puede utilizar para analizar, comparar y defenderse contra ciberataques de extremo a extremo mediante amenazas persistentes avanzadas (APT). [22] En 2021 se publicó un documento técnico posterior sobre la cadena de muerte unificada [23].
Referencias
- ^ "Enfoque de la cadena de muerte" . Jefe de Operaciones Navales . 23 de abril de 2013. Archivado desde el original el 13 de junio de 2013.
- ^ Jonathan Greenert; Mark Welsh (17 de mayo de 2013). "Rompiendo la cadena de la muerte" . Política exterior . Consultado el 30 de junio de 2016 .
- ^ Higgins, Kelly Jackson (12 de enero de 2013). "Cómo 'Kill Chain' de Lockheed Martin detuvo el ataque de SecurID" . OSCURO Lectura . Consultado el 30 de junio de 2016 .
- ^ Mason, Sean (2 de diciembre de 2014). "Aprovechando la cadena de matar para impresionante" . OSCURO Lectura . Consultado el 30 de junio de 2016 .
- ^ Myers, Lysa (4 de octubre de 2013). "La practicidad del enfoque de seguridad Cyber Kill Chain" . CSO Online . Consultado el 30 de junio de 2016 .
- ^ a b Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informated by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011
- ^ Revista de la fuerza aérea, Tirpak-2000
- ^ Benítez, Mike (17 de mayo de 2017). "ES CÓMO HORA: EL PRENSADO NECESITA EVOLUCIONAR LA CADENA DE MATAR" . Guerra contra las rocas . Consultado el 28 de abril de 2020 .
- ^ Sanger, David E. (6 de julio de 2017). "Pequeños satélites de Silicon Valley pueden ayudar a rastrear misiles de Corea del Norte" . The New York Times . Consultado el 7 de julio de 2017 .
- ^ "30/06/17 - Declaración conjunta entre los Estados Unidos y la República de Corea | Embajada y Consulado de los Estados Unidos en Corea" . Embajada y Consulado de Estados Unidos en Corea . 2017-06-30 . Consultado el 7 de julio de 2017 .
- ^ a b Comité del Senado de Estados Unidos sobre comercio, ciencia y transporte-A "Kill Chain" Análisis de la infracción de datos de destino de 2013-26 de marzo de 2014 Archivado el 6 de octubre de 2016 en la Wayback Machine.
- ^ Greene, Tim. "Por qué la 'cadena de muerte cibernética' necesita una actualización" . Consultado el 19 de agosto de 2016 .
- ^ "The Cyber Kill Chain o: cómo aprendí a dejar de preocuparme y amar las filtraciones de datos" . 2016-06-20 . Consultado el 19 de agosto de 2016 .
- ^ "Copia archivada" (PDF) . Archivado desde el original (PDF) el 10 de septiembre de 2018 . Consultado el 15 de mayo de 2017 .CS1 maint: copia archivada como título ( enlace )
- ^ Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu (febrero de 2019). "Modelo modificado de cyber kill chain para entornos de servicios multimedia" . Herramientas y aplicaciones multimedia . 78 (3): 3153–3170. doi : 10.1007 / s11042-018-5897-5 . ISSN 1380-7501 .
- ^ Nutting, Ray (2019). Guía de examen todo en uno de la certificación CompTIA PenTest + (PT-001) . Nueva York: McGraw-Hill Education. pag. 75. ISBN 978-1-260-13594-7.
- ^ Nutting, Ray (2019). Guía de examen todo en uno de la certificación CompTIA PenTest + (PT-001) . Nueva York: McGraw-Hill Education. pag. 76. ISBN 978-1-260-13594-7.
- ^ Laliberte, Marc (21 de septiembre de 2016). "Un giro en la cadena Cyber Kill: defensa contra un ataque de malware JavaScript" . OSCURO Lectura .
- ^ Engel, Giora (18 de noviembre de 2014). "Deconstruyendo la cadena Cyber Kill" . OSCURO Lectura . Consultado el 30 de junio de 2016 .
- ^ Reidy, Patrick. "Combatir la amenaza interna en el FBI" (PDF) . BlackHat USA 2013 .
- ^ Devost, Matt (19 de febrero de 2015). "Cada atacante cibernético es un iniciado" . Bucle OODA .
- ^ Pols, Paul (7 de diciembre de 2017). "La cadena de muerte unificada" (PDF) . Academia de seguridad cibernética.
- ^ Pols, Paul (17 de mayo de 2021). "La cadena de muerte unificada" . UnifiedKillChain.com.
enlaces externos
- "Lockheed Martin Cyber Kill Chain" .
- "La cadena de muerte unificada" .
- "MITRE ATT & CK" .