Cualquier actividad de seguridad informática y protección cibernética se basa en la determinación de una frontera que se debe vigilar (el perímetro de seguridad) y sobre la estimación de la posibilidad de sufrir daños relacionados con circunstancias más o menos previsibles (la Evaluación de riesgos).
El riesgo debe evaluarse teniendo en cuenta la amenaza y vulnerabilidades que puede explotar, las condiciones predisponentes circundantes, la probabilidad de implementación y éxito de la conducta nociva y, finalmente, el alcance de las pérdidas que se pueden ocasionar.
Detengámonos aquí para considerar solo el primer elemento, la amenaza, e intentemos establecer algunos puntos fijos que nos ayudarán a enfrentar un método difícil, pero no imposible, de estudiar a nuestro adversario. Sí, porque las batallas, más que con armas, se ganan gracias al conocimiento del oponente: de su "DE NADA", acrónimo tradicionalmente conocido en las Escuelas Militares de Dislocación, Entidad, Naturaleza y Actitud del enemigo; y en particular de su TTP, es decir, de sus Tácticas, Técnicas y Procedimientos Operativos.
Por astuto y talentoso que sea, nuestro oponente todavía tendrá que seguir un hilo común si quiere tener éxito. Y la lógica y la experiencia nos permiten conceptualizar un "camino de daño" o si desea un "ciclo de vida de la amenaza" que debe tenerse en cuenta si desea realizar análisis de riesgo e inversiones de seguridad efectivos y enfocados.
Normalmente, este ciclo comienza desde uno frase preparatoria, donde el oponente monitorea las redes, los sistemas de información y los servicios de TI de la víctima desde el exterior con actividades de reconocimiento: por ejemplo, con herramientas activas exploración o Recopilación de información del anfitrión, buscando vulnerabilidades o datos detallados sobre las configuraciones de sistemas perimetrales o sobre los procedimientos de acceso físico a centros de datos y escritorios. En esta fase, además, el oponente adquiere los recursos necesarios para realizar el ataque, como la creación de botnet para lanzar acciones de Negación de servicio o el alquiler de Virtual Private Server para garantizar el anonimato.
Luego de esta fase preparatoria, similar a las operaciones tácticas ofensivas en maniobras terrestres, está la penetración del muro de defensa, típicamente en el punto más vulnerable donde, con diferentes técnicas como el robo de credenciales personales o la instalación de el malware en pendrive entregado al personal interno de la organización, el oponente asegura una "cabeza de puente" que le permite instalar códigos maliciosos dentro del perímetro de seguridad.
La fase deEjecución códigos maliciosos con el que el oponente lanza el ataque y / o garantiza el control encubierto (y el anonimato puede durar meses o años como una célula durmiente) de parte del sistema, red o servicio para implementar más estrategias y arreglos de inteligencia y deterioro.
En esta etapa, el oponente puede realizar tácticas de persistencia, destinado precisamente a mantener la puerta de acceso, la "cabeza de puente" dentro del perímetro de seguridad a pesar de de corte como reiniciar o cambiar credenciales; de escalada de privilegios, con el que intenta garantizar privilegios de acceso de mayor nivel, como los ávidos de la administración del sistema; de evasión defensiva, con el que intenta disfrazarse en las actividades de seguimiento y detección del sistema de seguridad; de acceso de credenciales, destinado a robar credenciales de inicio de sesión; de descubrimiento, con el que observa, esta vez desde adentro, el entorno, orientando mejor sus estrategias de ataque o revisando sus objetivos; de movimiento lateral con el que se expande, adquiriendo el control de segmentos de red contiguos o particiones de servidores con acceso controlado o sistemas de información remota; de -- con el que identifica, analiza y recopila la información que quiere robar; de C2 con el que establece canales de comunicación fantasma para garantizar el mando y control del sistema comprometido desde el exterior; y finalmente tácticas de exfiltración o el impacto dependiendo de si el objetivo del ataque es robar información o interrumpir el funcionamiento del sistema; o ambos, como en el caso del infame ransomware más avanzados que extraen una copia de los datos para amenazar su publicación en el tela oscura, al mismo tiempo cifrando y haciendo que parte o la totalidad de la memoria que los contiene no esté disponible.
Para cada una de estas tácticas, existen técnicas y procedimientos de piratería sutiles y avanzados, así como algoritmos de precios, exfiltración e impacto especialmente desarrollado por ciberdelincuentes.
Afortunadamente, sin embargo, son tácticas conocidas por el mundo de la inteligencia y la ciberseguridad que a su vez ha desarrollado estrategias de contramedidas en términos de protección, monitoreo, detección, mitigación y respuesta. Hablaremos de esto en un artículo futuro.
Para saber más:
Defensa en línea: "¿Qué es la cyber kill chain?"
https://doi.org/10.6028/NIST.SP.800-30r1
