Un ataque es un proceso dirigido con una intención bien definida: conseguir unos efectos sobre un objetivo; por ejemplo, robar datos que están en un servidor web o cifrar los contenidos de una máquina para hacer que el usuario pague un rescate. Pero al tratarse de una secuencia de fases (cadena), una mitigación en cualquiera de ellas romperá la cadena, y por lo tanto, frustrará el ataque.
Además, cada ataque deja una serie de huellas de las que se puede aprender y utilizar para comprender a los adversarios y estudiar cómo realizan sus acciones. Esto permitirá diseñar defensas cada vez más efectivas y comprobar si las que tenemos son las más adecuadas.
La Cyber Kill Chain está formada por una secuencia de siete pasos, cada uno de los cuales supone una etapa del ataque:
1-Reconocimiento
Se trata de la fase en la que el ciberdelincuente recopila información sobre su objetivo. Para ello, observa los detalles que la organización publica en abierto y busca información sobre la tecnología que utiliza, así como datos en redes sociales e incluso realiza interacciones por correo electrónico.
Con esta información, el atacante valora qué métodos de ataque podrían funcionar y con qué probabilidad de éxito. Por este motivo, para evitar que el ciberatacante disponga de estos datos, resulta fundamental que los empleados estén concienciados y desarrollar una verdadera cultura en seguridad, revisando y limitando la información que se comparte en la web y en las redes sociales o imponiendo medidas que la conviertan en inaccesible (utilizando técnicas de cifrado, desechando soportes de forma segura, poniendo límites al compartir información confidencial, etc.).
2-Preparación
En esta fase se prepara el ataque de forma específica sobre un objetivo. Por ejemplo, un atacante podría crear un documento PDF o de Microsoft Office e incluirlo en un correo electrónico que suplante la identidad de una persona legítima con la que la empresa interactúe normalmente. Una vez más, estar concienciados con la ciberseguridad será el mejor mecanismo para frenar el ataque en esta fase.
3-Distribución
En esta etapa se produce la transmisión del ataque, por ejemplo, mediante la apertura del documento infectado que había sido enviado por correo electrónico, accediendo a un phishing, etc. Ser conscientes de la existencia de este tipo de ataques y aprender a identificarlos será nuestra primera línea de defensa.
4-Explotación
Esta fase implica la «detonación» del ataque, comprometiendo al equipo infectado y a la red que pertenezca. Esto se suele producir explotando una vulnerabilidad conocida para la cual ya existe parche de seguridad, como en el caso de una vulnerabilidad del escritorio remoto, que de no estar parcheada permitiría entrar en los equipos desde el exterior. Por este motivo, es muy importante disponer de soluciones de seguridad y mantener todos los sistemas, incluido el antivirus, actualizados a su última versión.
5-Instalación
Fase en la que el atacante instala el malware en la víctima. También puede darse la circunstancia de que no se requiera instalación, como en el robo de credenciales o en el fraude del CEO. En cualquier caso, la formación y concienciación en ciberseguridad será nuestra principal arma para frenar cualquier tipo de ataque en esta fase, junto con medidas técnicas como la monitorización del estado de los sistemas, ya sea mediante infraestructura propia o a través de seguridad gestionada o subcontratando personal o servicios.
6-Comando y control
Llegados a este punto el atacante cuenta con el control del sistema de la víctima, en el que podrá realizar o desde el que lanzar sus acciones maliciosas dirigidas desde un servidor central conocido como C&C (Command and Control), pudiendo sustraer credenciales, tomar capturas de pantalla, llevarse documentación confidencial, instalar otros programas, conocer cómo es la red del usuario, etc.
7-Acciones sobre los objetivos
Esta es la fase final en la que el atacante se hace con los datos e intenta expandir su acción maliciosa hacia más objetivos. Esto explica por qué la kill chain no es lineal sino cíclica, ya que se volverían a ejecutar todas y cada una de sus fases de cara a infectar a más víctimas.
Por lo tanto, para poder romper la cadena y evitar que un ataque consiga sus objetivos será necesario estar verdaderamente comprometido con la ciberseguridad. Una organización que mantenga todos sus sistemas y equipos actualizados, utilice las soluciones de seguridad adecuadas, monitorice la actividad de sus comunicaciones y sus empleados cuenten con los conocimientos necesarios en ciberseguridad, aumentará considerablemente su capacidad para detectar y responder ante este tipo de incidentes de seguridad, poniéndoselo mucho más difícil a los adversarios y evitando que los sistemas y la información que en ellos se almacena se vean comprometidos.
Mantenerse al día y formar y concienciar a tus empleados será la principal barrera frente a cualquier tipo de amenaza o ataque dirigido. ¡Protege tu empresa!
Fuente: https://www.incibe.es/empresas/blog/las-7-fases-ciberataque-las-conoces
