Cyber Kill Chain - Siete fases de un ataque
Lectura de 2 min aprox.
La cadena de ataque cibernético (cyber kill chain) es un marco que clasifica la serie de procesos de un ciberataque en siete etapas. Fue propuesta por el gran contratista de defensa estadounidense Lockheed Martin en su artículo de 2011 «Intelligence-Driven Computer Network Defense». Aplicando el término militar «cadena de ataque» (la secuencia que va desde detectar un objetivo hasta destruirlo) al ciberespacio, permite analizar de forma sistemática en qué fase se puede cortar un ataque al comprender cada una de sus etapas.
Las siete etapas
El atacante avanza por estas siete etapas en orden, pero el defensor puede detener el ataque cortando la cadena en cualquier etapa. Detectar y bloquear en una etapa temprana (reconocimiento o entrega) previene el daño antes de que ocurra, mientras que la detección incluso en una etapa posterior (C2 o acciones sobre los objetivos) minimiza el daño. Este marco también es útil para planificar la respuesta a incidentes.
Comparación con MITRE ATT&CK
| Aspecto | Cadena de ataque cibernético | MITRE ATT&CK |
|---|---|---|
| Granularidad | Modelo de alto nivel de 7 etapas | Clasificación detallada con 14 tácticas y cientos de técnicas |
| Estructura | Lineal (orden fijo) | Formato de matriz (orden flexible) |
| Propósito | Comprender el panorama general de un ataque, explicarlo a la dirección | Elaborar reglas técnicas de detección, ejercicios de equipo rojo |
| Frecuencia de actualización | Sin revisiones importantes desde 2011 | Se añaden nuevas técnicas cada trimestre |
| Amenazas internas | Supone atacantes externos, por lo que su cobertura es débil | También incluye técnicas de amenaza interna |
En la práctica, en lugar de tratar ambos como opuestos, resulta eficaz usarlos de forma combinada: examinar el panorama general de un ataque con la cadena de ataque y profundizar en las técnicas concretas y los métodos de detección de cada etapa con ATT&CK. Los equipos de inteligencia de amenazas utilizan ambos marcos a diario.
Críticas y limitaciones
A la cadena de ataque cibernético se le han señalado las siguientes limitaciones. En primer lugar, como es un modelo que presupone una intrusión desde el exterior, no se ajusta bien a las amenazas que plantean los actores internos. Los actores internos pueden omitir las etapas de reconocimiento, entrega y explotación y ejecutar directamente sus objetivos con privilegios de acceso legítimos. En segundo lugar, en casos como los ataques a la cadena de suministro, en los que el malware se entrega a través de un canal de confianza, la detección en la etapa de entrega es extremadamente difícil. En tercer lugar, al ser un modelo lineal, tiene una restricción estructural que dificulta representar los casos en que un atacante se salta etapas o avanza varias etapas de forma simultánea.
A pesar de estas limitaciones, la cadena de ataque cibernético sigue siendo valiosa como marco introductorio para comprender de forma intuitiva el panorama general de un ataque. También es importante entender la realidad de que la ingeniería social se utiliza mucho en la etapa de entrega.libros sobre ciberseguridad (Amazon) son recomendables para un aprendizaje sistemático. Consulte también protección contra ransomware, protección contra phishing y respuesta a incidentes para particulares.
¿Te resultó útil este artículo?