Cyber Kill Chain: gestionando la seguridad con un enfoque militar (parte II)

Hace un par de meses atrás escribimos sobre la gestión de la seguridad con un enfoque militar, en el cual planteamos el concepto de Cyber Kill Chain, una serie de pasos que describen cómo se lleva a cabo un ataque y por lo tanto nos da la visión de donde deberíamos enfocarnos para proteger nuestra información.

Ahora que sabemos cómo podría actuar un atacante, lo siguiente que deberíamos conocer es dónde se pueden llevar a cabo los ataques. Más allá que al momento de gestionar la seguridad en nuestra empresa utilicemos algún estándar o normativa, hacer un análisis desde estos conceptos resulta muy interesante para obtener una visión general de lo que deberíamos cubrir independiente del estándar utilizado.

Definiendo el espacio donde ocurren los ataques

Si pensamos en cuales son los canales por los cuales se propagan las amenazas que pueden afectar la seguridad en nuestras organizaciones, podremos observar que la gran mayoría están relacionados con Internet, pero el campo donde se dan los ataques debe ser mucho más amplio. Aparece entonces el término de terreno cibernético (Cyber Terrain) que  engloba los sistemas, dispositivos, protocolos, datos, software, procesos, personajes cibernéticos y otras entidades que supervisan y controlan el ciberespacio.

Al tener una definición mucho más amplia, se extienden las consideraciones que deben hacerse al pensar en la seguridad de la información. Como ejercicio complementario a un análisis de riesgos, pueden considerarse los siguientes factores que pueden resultar claves para hacer una adecuada definición de controles:

  1. Observación: Se refiere a la capacidad de observar a los atacantes desde un punto de vista que resulte ventajoso. De esta actividad resulta importante resaltar la necesidad de considerar diferentes escenarios para un mismo tipo de amenaza. Por ejemplo una fuga de información se ve diferente para alguien que trata de escanear nuestra red desde fuera del perímetro pasando por el firewall, y sus resultados serán completamente diferentes a un atacante que logre escanear la red desde el interior de nuestra empresa.
  2. Ocultamiento: En el aspecto militar, el ocultamiento está relacionado con las medidas tomadas para protegerse de la observación y este concepto se extiende para protegerse de los ataques del enemigo. También podría darse el caso de un objetivo que puede ser visto pero no comprometido y por lo tanto en teoría estaría fuera del rango de algún ataque. Por ejemplo considerar un sistema de prevención de intrusiones para tener las máquinas fuera del alcance de un ataque al bloquear el tráfico de red malicioso.
  3. Obstáculos: Son tecnologías o políticas que limitan el flujo de datos dentro de una red. Pueden incluir listas de control de acceso en los router, firewalls y otros dispositivos que se utilizan para restringir los paquetes que pasan por la red. Muchos de estos sistemas o equipos pueden cumplir la función de brindar ocultamiento a algunos equipos de la red e incluso mediante el filtrado de paquetes maliciosos, se puede dejar fuera de alcance secciones de red específicas.
  4. Aproximación: Son los diferentes caminos que se pueden utilizar para alcanzar un objetivo. Las vías que conectan a los sistemas físicos tales como switches, routers, fibra y cable Ethernet, a menudo son menos relevantes que las conexiones lógicas usadas desde los dispositivos de los usuarios para llegar a intercambiar datos y navegar por Internet. Una conexión HTTP a un servidor web puede ser un canal, aunque también deberían considerarse casos como un ataque de phishing a un empleado, y la información robada utilizada para conectarse a la red de la empresa.

Cómo sacamos ventaja

Una vez que se hacen estas consideraciones, además hay que tener en cuenta que, a pesar de todo, los atacantes operan con información incompleta sobre los entornos que quieren vulnerar. Esto es una ventaja que como administradores puede ser aprovechada ya que el reconocimiento que hagan los atacantes implica interactuar con los sistemas informáticos, y es por esto que pueden ser detectados por un análisis de logs cuidadoso.

Por otra parte, dado que los encargados de la gestión de la seguridad son quienes crean el ambiente que puede ser atacado, se puede diseñar para obtener ventajas. Por ejemplo, se puede llevar al atacante hacia un sitio que pareciera proporcionar el acceso a un activo de información valioso, pero realmente no contenga nada de interés. Este enfoque, dentro del cual se enmarcan los honeypots, implica un gasto de recursos para el atacante y lo obliga a revelar sus capacidades y técnicas.

Estos dos sencillos aspectos, si son considerados dentro del análisis de riesgos, pueden proporcionar una ventaja importante sobre los atacantes. ¿Qué otros tipos de protección podríamos utilizar para minimizar las posibilidades de que un atacante logre llegar hasta nuestra información valiosa?

Créditos imagen: ©Vlastimil Koutecky/Flickr

Autor , ESET

Síguenos