Cyber Kill Chain (CKC) es un concepto militar aplicado a la ciberseguridad que enumera las etapas de un ataque. El modelo describe cómo los atacantes utilizan un ciclo común de métodos para comprometer una organización. Los líderes de seguridad de TIC pueden utilizar este método para alinear los programas de seguridad con los de los adversarios. Con ello, pueden mejorar su capacidad para predecir, prevenir, detectar y responder a las amenazas avanzadas.
De acuerdo con el estudio 2021 Ransomware de IDC, aproximadamente 37% de las organizaciones a nivel global fueron víctimas de alguna forma de ataque de ransomware en 2021. El Centro de Quejas de Delitos Cibernéticos del FBI reportó 2,084 informes de ransomware desde enero hasta el 31 de julio de 2021. Ello representa un aumento del 62% año con año. De acuerdo con Gartner, de ahora en adelante los gobiernos estarán más involucrados. Según la consultora, es probable que las naciones promulguen leyes sobre pagos de ransomware. Este año, la consultora estimó que sólo el 1% de los gobiernos globales tienen reglas sobre este tipo de ataque. Se espera que llegue al 30% para 2025.
Los ataques de ransomware tienen un ciclo de actuación. Eso genera una serie de datos que ayudan a las organizaciones a comprender las amenazas en general. Al agregar análisis, contexto, relevancia, prioridad y oportunidad, esta información se convierte en inteligencia. Con inteligencia, las empresas —incluida la industria sanitaria— entienden cómo prevenir, crear estrategias y preparar a sus equipos de TIC ante las amenazas. El resultado son operaciones de seguridad más eficientes y efectivas, además de una mayor seguridad.
Etapas de Cyber Kill Chain
La prevención es la única forma de “romper” esta cadena. Con una política de seguridad de la información concisa es posible tener éxito ante ciertos ataques. También podemos mencionar qué tipo de tecnologías y soluciones de protocolo se podrían llevar a cabo. Es importante tener en cuenta que la Cyber Kill Chain es cíclica. Es decir, es un movimiento circular, no lineal. Si bien la metodología utilizada es la misma, los delincuentes utilizarán diferentes métodos dentro de la cadena, entre los que destacan los siguientes:
●Reconocimiento: ¿Qué métodos funcionarán con el mayor grado de éxito? Y de ellos, ¿cuáles son los más fáciles de ejecutar en cuanto a inversión de recursos? Combate: seguimiento y control de identidad con soluciones de administración de identidades y gobernanza (Identity Governance and Administration, IGA).
●Armamento: ¿Dónde está la oportunidad de que la amenaza tenga éxito? Pueden ser aplicaciones web, malware estándar o personalizado, descargas, compras, archivos vulnerables (imágenes, PDF, etc.). Combate: protección de dispositivos terminales y reducción de privilegios de acceso con soluciones de gestión de accesos privilegiados (Privileged Access Management, PAM).
●Entrega: ¿Cuál es el objetivo del ataque y en qué puerto ingresará a la empresa? ¿Cómo se transmitirá la amenaza? Combate: soluciones de protección de dispositivos terminales.
Combatir a los ciberdelincuentes
●Explotación: Una vez entregada al usuario, computadora o dispositivo, la carga útil maliciosa comprometerá el activo y dominará una posición en el ecosistema. Esto se debe a que aprovecha alguna vulnerabilidad conocida o disponible anteriormente. Combate: seguimiento.
●Instalación: La amenaza suele ser sigilosa en su funcionamiento, lo que permite lograr la persistencia o “tiempo de vida”. Los delincuentes pueden entonces tomar el control del ecosistema sin alertar a la organización. Combate: soluciones de monitoreo y protección de dispositivos terminales.
●Control: Fase decisiva en la que los delincuentes tienen el control de los activos dentro de la organización a través de métodos de control, por lo general remotos. Aquí es donde el atacante pone sus cartas sobre la mesa y se comunica con la víctima. A menudo, se identifica un host en el que se copian todos los datos internos, luego se comprimen o cifran y están listos para su exfiltración. Combate: monitoreo y soluciones PAM.
●Acciones y objetivo: Fase final que cubre cómo los delincuentes extraen datos o dañan los activos de TIC al mismo tiempo que estudian detenidamente una organización. A continuación, se toman medidas para identificar más objetivos, expandir su dominio dentro de la empresa y extraer más datos. Combate: plan de recuperación de desastres.