yrios
CICLO DE VIDA DEL ATAQUE
La consultora de seguridad y tecnología FireEye Mandiant utiliza una metodología llamada "ciclo de vida del ataque", la cual difiere de la Cyber Kill Chain, aunque existen algunas similitudes entre ambas. Mientras que la cadena de eliminación cibernética es una técnica teórica o militar, el ciclo de vida del ataque describe cómo los atacantes han operado históricamente en el ámbito de la infraestructura informática. Si se observa cómo actuaron grupos como el Chaos Computer Club en la década de 1980 o Kevin Mitnick y sus contemporáneos a finales de los años 70 y más allá, se puede trazar directamente sus acciones en el ciclo de vida del ataque.
Una distinción significativa del ciclo de vida del ataque es reconocer que el ataque no es una única acción que se realiza y ya está. En cambio, hay un ciclo que ocurre en el proceso. Los atacantes no continúan lanzando ataques desde fuera de la red, sino que una vez que ingresan al entorno, utilizan los sistemas comprometidos como puntos de lanzamiento para nuevos compromisos dentro del entorno. Para llegar allí, los atacantes primero identifican una víctima y las posibles formas de ataque en la etapa de reconocimiento inicial. En esta etapa, el atacante realiza una exploración que incluye la identificación de nombres y títulos mediante el uso de inteligencia de fuentes abiertas, como sitios de redes sociales, para generar ataques. Lanzan ataques, generalmente de phishing, para obtener acceso a la red. Esto se conoce como la etapa de compromiso inicial.
Una vez que el atacante ha logrado comprometer un sistema, su siguiente objetivo será establecer puntos de apoyo para asegurar que puedan mantener el acceso al sistema y volver a ingresar cuando lo necesiten. Es importante tener en cuenta que estos ataques no ocurren de manera repentina, ya que pueden llevar días o semanas para avanzar de una fase a otra. Este ritmo depende de la organización que está detrás de los ataques, ya que generalmente no son individuos sino grupos organizados que pueden tener diferentes empleados trabajando en diferentes etapas del ciclo de vida del ataque.
Para lograr una mayor eficacia, el agresor tendrá que elevar sus privilegios. Es necesario que cuenten con privilegios administrativos para acceder al ciclo que se desarrolla a medida que avanzan por el entorno, añadiendo más sistemas a su lista. Es probable que busquen obtener credenciales almacenadas en la memoria o el disco. Además, llevarán a cabo una investigación sobre las conexiones que el sistema ha establecido con otros sistemas en la red, lo que se conoce como reconocimiento interno. También podrían estar tratando de identificar otras credenciales utilizadas en el sistema.
Es esencial llevar a cabo el reconocimiento para poder desplazarse lateralmente por la red, también conocido como movimiento este-oeste. En una red, la conexión con el mundo exterior suele estar ubicada en la parte superior, similar al norte en un mapa, mientras que la entrada y salida de la red se conoce como movimiento norte-sur. Cualquier movimiento interno en la organización se produce de lado a lado o lateral, similar a moverse de este a oeste en un mapa. Para realizar estos movimientos laterales, los atacantes necesitan conocer los sistemas existentes, que pueden ser servidores o estaciones de trabajo individuales. En una red empresarial, es posible autenticarse utilizando credenciales capturadas de otras estaciones de trabajo que tienen acceso a diferentes conjuntos de servidores.
Cada vez que el atacante accede a un sistema, es necesario que mantenga su presencia. Esto implica establecer algún tipo de persistencia para que cualquier malware que permita el acceso del atacante siga funcionando. Para lograr esto, el atacante puede utilizar el registro de Windows, las tareas programadas u otros métodos de persistencia que garanticen que el malware se mantenga en ejecución, permitiendo al atacante volver a entrar al sistema en cualquier momento deseado.
La fase final del ciclo de vida del ataque es completar la misión, aunque puede resultar engañoso dejarla para el final. Los ataques generalmente no son un evento único y aislado. Una vez que un atacante ha penetrado en el entorno, es probable que continúe regresando para ver si hay algo más que pueda obtener. También pueden ampliar su alcance dentro de la organización. La fase de misión completa implica la extracción de datos del entorno, pero esto puede no ser un evento único. El atacante puede continuar buscando objetivos adicionales para explotar, lo que puede resultar en múltiples exfiltraciones. Por lo tanto, habrá retornos continuos a esta fase. Si el atacante tiene la intención de residir en el entorno durante varios años, no querrá esperar años para obtener los datos, ya que nunca sabrá cuándo algo puede cambiar y perder el acceso.
En resumen el cliclo de vida del ataque o Attack Lifecicle puede variar dependiendo el tipo de ataque, pero en general cumplen con lo siguiente: