El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Cyber Kill Chain®

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Vamos a explicar el concepto de Cyber Kill Chain®, acuñado por la empresa Lockheed Martin para analizar y comprender los procesos y fases de que consta una intrusión, con la idea de enfrentarnos a la misma de forma planificada.

Transcripción

En 2011, analistas de la compañía Lockhead Martin, una compañía estadounidense de la industria militar y aeroespacial publicaron un estudio en el que describían el concepto Intrusion Kill Chain, que podemos traducir como "Cadena de la muerte de la intrusión". El objetivo era comprender la forma en la que los intentos de intrusión y ataques se desarrollan, y el nombre acabó por derivar en Cyber Kill Chain que es, además, una marca registrada por la compañía. El término, deriva a su vez del mundo militar, en el que Kill Chain es el concepto relativo a la estructura de un ataque y sus etapas. Identificación del objetivo, despliegue de efectivos, toma de decisiones, orden de ataque y destrucción del objetivo. Tanto en el mundo militar del combate, como en el ciberespacio, estos conceptos no se estudian únicamente para diseñar y ejecutar ataques e intrusiones, también para evaluar las propias defensas y ponerse en la piel de quien pueda estar interesado en atacar nuestra infraestructura. Es decir, podemos usar el concepto de Cyber Kill Chain poniéndonos en el lugar del objetivo para inferir qué pasos daría un posible atacante. En el campo militar, los eslabones de la cadena se resumen como F2, T2, EA, es decir, Find, localizar el objetivo, Fix, asegurar la localización y prevenir la huída. Track, vigilar los movimientos del enemigo. Target, escoger el armamento o recursos apropiados para la operación. Engage, entrar en contacto con el enemigo con el armamento escogido. Y Asess, valorar los resultados del ataque. Cuando los analistas de Lockhead Martin trasladaron la idea a las ciberamenazas, los eslabones de la cadena mutaron a "Reconocimiento", que consiste en seleccionar y estudiar al objetivo. No se trata solo de hacer un análisis de vulnerabilidades, también hay que valorar el beneficio o perjuicios que pueden sobrevenir del éxito o fracaso de un ataque, es decir, los riesgos que se corren como atacante. Las medidas de seguridad que podemos aplicar para las acciones de esta fase son, en primer lugar, analizar las propias vulnerabilidades y corregirlas, y por otro, el despliegue de señuelos o honeypots para distraer al potencial atacante y prevenir sus acciones. "Armarse" es la fase dos. Consiste en escoger o diseñar las herramientas necesarias para practicar el ataque en base a las vulnerabilidades del objetivo y las capacidades propias. Básicamente, reunir exploits, backdoors y demás recursos necesarios y convertirlos en una herramienta utilizable. Durante esta fase poco podremos hacer en defensa, ya que es trabajo del atacante. La "Distribución" o "Entrega" es la tercera etapa. Consiste en emplazar las herramientas en el lugar y forma oportunos para que sean efectivas. Es decir, hacer llegar el exploit a su destino. Puede ser mediante correo electrónico e ingeniería social, por ataques técnicos contra vulnerabilidades desde dispositivos o servicios accesibles online, o incluso mediante acceso físico a equipos. Para defendernos de la distribución, debemos trabajar tanto la educación y concienciación del personal, como la implantación de medidas de seguridad entre las que se incluyen antimalware, firewalls, parches de seguridad y muchas otras. La cuarta fase es la fase de "Explotación". Consiste en la puesta en marcha del software malicioso, es decir, en la ejecución del exploit que hemos hecho llegar al objetivo para desplegar el malware. La defensa consiste, principalmente, en mantener los sistemas parcheados y en mantener una política de mínimos privilegios, que proteja el acceso a información reservada. La "Instalación" es la quinta fase. Es el procedimiento por el que el atacante se hace persistente en la infraestructura de su objetivo, escala privilegios e incluso instala backdoors para poder volver a conectarse sin necesidad de recurrir de nuevo a la vulnerabilidad y el exploit inicialmente utilizados. En esta fase, podemos minimizar los daños si las cuentas de usuario tienen los mínimos privilegios necesarios, además, podemos detectar estas actividades con software de monitorización, y podemos usar registros de eventos o logs para detección e incluso análisis a posteriori. La sexta etapa es la de "Comando y control" o C&C. Consiste en asegurarse de que el atacante puede gestionar remotamente las herramientas desplegadas en las máquinas de su objetivo. Esta fase puede ser detectada o prevenida con la correcta monitorización y filtrado del tráfico de red. Y, por último, quedan las "Acciones sobre el objetivo", es decir, dedicarse a hacer lo que haya venido a hacer. El atacante ya ha detectado las vulnerabiliddes, ha preparado sus herramientas de ataque, las ha hecho llegar y ha logrado que funcionen. Se ha establecido en nuestros sistemas y dispone de conexión entre su centro de comando y control y dichas herramientas, así que solo le queda hacer aquello para lo que ha planificado el ataque, que puede ser robar, manipular o destruir información, vigilar comunicaciones, practicar sabotaje, facilitar otros ataques, realizar ataques a otros objetivos desde nuestra infraestructura y cualquier otra cosa que se nos pueda ocurrir. Existen distintas adaptaciones del Cyber Kill Chain para acomodarse de forma más precisa a distintos sectores, una de las adaptaciones más relevantes es la que el SANS Institute hizo en 2015 para adaptarla a los sistemas de control industrial o ICS. En esta adaptación, la cadena se divide en dos etapas. Stage 1 y Stage 2. La primera de ellas incluye planificación, preparación, intrusión, gestión y habilitación, y, por último, logística, fortificación, desarrollo y ejecución, es decir, todos los pasos necesarios para comprometer el sistema objetivo. La segunda fase empieza cuando el atacante ha tomado el control de nuestra infraestructura, y se divide en tres partes, adaptación del ataque a la infraestructura atacada, validación de la eficiencia de las herramientas de ataque desplegadas, y por último, la ejecución del ataque propiamente dicho.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.