Dentro de las charlas a las cuales hemos asistido este año durante BlackHat, hay una que me resultó interesante pues presentó un enfoque muy interesante, basado en la estrategia militar sobre cómo gestionar la seguridad de la información en las empresas... ¡sí, con un enfoque militar!

Ya varias veces hemos escrito sobre qué es un análisis de riesgos, la importancia de la gestión para la seguridad del información e incluso sobre los beneficios de la aplicación efectiva de las políticas de seguridad, pero a pesar de todo esto pareciera que los cibercriminales tienen cierta ventaja sobre quienes gestionan la seguridad, pues tienen a su disposición muchas formas de atacar.

De lo militar a lo corporativo

En la charla The Library of Sparta, los autores plantearon algunos conceptos que desde lo militar pueden ayudar a gestionar la seguridad de la información en las empresas y hubo uno en particular que me llamó bastante la atención y quisiera compartir con ustedes.

Kill Chain es un modelo de ataque que data de los años noventa desarrollado por la Fuerza Aérea de los Estados Unidos. Esta estrategia conocida como F2T2EA se basa en seis pasos para llevar a cabo una operación militar:

  1. Encontrar (Find)
  2. Asegurar (Fix)
  3. Rastrear (Track)
  4. Elegir blanco (Target)
  5. Abordar (Engage)
  6. Evaluar (Assess)

A partir de esta secuencia de pasos se propuso lo que se conoce como Cyber Kill Chain, una cadena que describe cómo se lleva a cabo un ataque y por lo tanto la mejor manera de protegerse.

Cómo nos atacan los ciberdelincuentes

Si bien no es un concepto nuevo, pues fue planteado por primera vez en 2010, la idea subyacente que describe cómo es llevado a cabo un ataque dirigido nos puede ayudar a saber cómo proteger nuestra información.

  • Reconocimiento (Recoonnaissance)

Los atacantes inician por  la investigación, identificación y selección de objetivos. Esta información la obtienen a partir de sitios web, redes sociales, listas de correo electrónico y en general cualquier actividad que permita identificar el tipo de información que pueda ser útil.

  • Militarización (Weaponization)

Una vez que se conoce cómo funciona una empresa, qué tecnologías utiliza y quiénes trabajan allí, los atacantes deciden la forma en la que actuarán. Por ejemplo, utilizar un troyano que contenga un exploit para aprovechar una vulnerabilidad específica de los sistemas de la empresa.

  • Entrega (Delivery)

Una vez definido el método de ataque, los atacantes buscan la forma más conveniente de propagar su amenaza: archivos adjuntos de correo electrónico, sitios vulnerables, dispositivos USB, entre otros.

  • Explotación (Exploitation)

Una vez que se propaga la amenaza, el atacante espera que el código malicioso sea ejecutado y por lo  tanto explotar la vulnerabilidad elegida, en un sistema operativo o aplicación en particular.

  • Instalación (Installation)

Después de lograr explotar la vulnerabilidad, se la utiliza para acceder al sistema de la víctima para lograr la persistencia en el entorno y tener acceso a la información buscada.

  • Mando y Control (Command & Control)

Teniendo el control del sistema, el atacante establece los canales de comunicación que a distancia le van a permitir controlar el sistema vulnerado.

  • Acciones sobre Objetivos (Actions on Objectives)

Una vez se establecen dentro de los sistemas de las víctimas, los atacantes buscarán la mejor forma de obtener información, lograr accesos a aplicaciones específicas o seguir moviéndose dentro de la red para buscar otros objetivos.

Lo más importante de esta cadena, más allá del enfoque militar, es tener presente que entre más temprano logremos parar el ataque, menos información vamos a perder. Además, algunas de las fases que se describen pueden ocurrir en paralelo y no necesariamente de forma secuencial.

Defensa de nuestra información

Toda esta cadena de acciones lleva a la realidad los pasos que podría llevar a cabo un atacante para obtener información sensible de la empresa. Como se puede ver en cada una de las etapas, hay acciones por realizar. Por ejemplo, revisar el tipo de datos que están públicos en la red y la educación a los empleados son fundamentales para minimizar la información que puede obtener un atacante.

También contar con las soluciones de seguridad apropiadas para la realidad de la empresa, manteniéndolas actualizadas y correctamente gestionadas. Esto además se debe extender para todas las aplicaciones que se utilicen en la empresa.

Finalmente, hacer un monitoreo constante del estado de los sistemas, para garantizar que no existen intentos de acceso a la red que pongan en riesgo la seguridad de la información es una buena práctica para conocer la verdadera situación de la infraestructura.

Recordemos que entre menos logre un atacante avanzar en esta cadena, menor será el riesgo de perder información. Este tipo de enfoques nos pueden ayudar a enfocar nuestros esfuerzos en tareas específicas para proteger la seguridad de nuestra información. Recordemos que en el campo de batalla de la seguridad, los atacantes siempre buscan obtener información a cualquier costo, y es nuestra tarea minimizar los daños o incluso tratar de impedirlos.