CYBER KILL CHAIN
22 noviembre, 2021Foto: Internet. La prevención como arma para los ataques ransomware.
Cyber Kill Chain (CKC) es un concepto militar aplicado a la ciberseguridad, donde se enumeran las etapas de un ataque. El modelo describe cómo los atacantes utilizan un ciclo común de métodos para comprometer una organización. De acuerdo con el estudio «2021 Ransomware» de IDC, aproximadamente 37% de las organizaciones a nivel global, comentan haber sido víctimas de alguna forma de ataque de ransomware en 2021.
El Centro de Quejas de Delitos Cibernéticos del FBI reportó 2.084 informes de ransomware desde enero hasta el 31 de julio de 2021, lo que representa un aumento del 62% año con año. De acuerdo con Gartner, de ahora en adelante los gobiernos estarán más involucrados. Según la consultora, es probable que las naciones promulguen leyes sobre pagos de ransomware. Este año, la consultora estimó que solo el 1% de los gobiernos globales tienen reglas sobre este tipo de ataque, con un aumento esperado del 30% para 2025.
Con inteligencia, las empresas entienden cómo prevenir, crear estrategias y preparar a sus equipos de TI ante las amenazas. La prevención es la única forma de «romper» esta cadena. Es importante tener en cuenta que la CKC es cíclica, es decir es un movimiento circular, no lineal. Si bien la metodología utilizada es la misma, los delincuentes utilizarán diferentes métodos dentro de la cadena, entre los que destacan:
• Reconocimiento: ¿Qué métodos funcionarán con el mayor grado de éxito? Y ¿cuáles son los más fáciles de ejecutar en cuanto a inversión de recursos? Combate: seguimiento y control de identidad con soluciones IGA (Administración de Identidades y Gobernanza).
• Armamento: ¿Dónde está la oportunidad de que la amenaza tenga éxito? Combate: protección de endpoints y reducción de privilegios de acceso con soluciones PAM (Privileged Access Management).
• Entrega: ¿Cuál es el objetivo del ataque y en qué puerto ingresará a la empresa? ¿Cómo se transmitirá la amenaza? Combate: soluciones de protección de terminales.
• Explotación: una vez entregada al usuario, computadora o dispositivo, la carga útil maliciosa comprometerá el activo y dominará una posición en el ecosistema. Combate: seguimiento.
• Instalación: La amenaza suele ser sigilosa en su funcionamiento, lo que permite lograr la persistencia o «tiempo de vida». Combate: soluciones de monitorización y protección de endpoints.
• Control: Fase decisiva en la que los delincuentes tienen el control de los activos dentro de la organización a través de métodos de control. Combate: monitorización y soluciones PAM.
• Acciones y objetivo: Fase final que cubre cómo los delincuentes extraen datos o dañan los activos de TI al mismo tiempo que estudian detenidamente una organización. Combate: Plan de recuperación ante desastres.
Comentó Rogério Soares, Pre-Sales & Professional Services, Director de Quest Software en Latinoamérica.
