Encuentra la diferencia: MITRE Framework vs. Lockheed Martin Kill Chain (Cyber Kill Chain®)


Cybersecurity Kill Chain ha sido una parte intrínseca de la industria de la ciberseguridad durante años, influyendo en el diseño de tecnología, programas de respuesta a incidentes y más; sin embargo, en los últimos años ha entrado en escena un “nuevo” marco que ha calado en la industria. La pregunta sigue siendo para muchos, ¿a cuál deberían adherirse? ¿Hay un enfoque mejor que otro? ¿Cuál es la diferencia?


Si te encuentras haciéndote estas preguntas, no busques más. Comencemos este artículo explicando primero qué es Kill Chain.

En 2011, el Departamento de Defensa de EE. UU. incorporó oficialmente el ciberespacio como componente del quinto dominio de la guerra, las operaciones de información. El contratista de defensa, Lockheed Martin, amplió el concepto militar de cadena de destrucción y lo adaptó a la ciberseguridad.


Kill Chain de Lockheed Martin

Ahora, la Cyber Kill Chain (convención de nomenclatura actual) nos ayuda a descomponer una intrusión o ataque en una secuencia definida de fases que nos ayudarán a la hora de intentar identificar un ataque. Estas son parte de siete fases que van desde el Reconocimiento hasta las Acciones sobre Objetivos.


Como se especifica en el sitio web de Lockheed Martin:


"El marco Cyber Kill Chain es parte del modelo de Defensa Impulsada por la Inteligencia para la identificación y prevención de la actividad de intrusiones cibernéticas. El modelo identifica lo que los adversarios deben completar para lograr su objetivo".

Fig 1. Las 7 fases del "Cyber Kill Chain"


A grandes rasgos, las fases de Kill Chain son las siguientes:


1. Reconocimiento: Aquí es donde todo comienza, obteniendo direcciones de correo electrónico, información de conferencias, PI.

2. Armamento: Emparejando el exploit con ataques de puerta trasera para entregar paquetes armados.

3. Entrega: Como menciona el título, esto entregaría el paquete armado a la víctima del ataque por correo electrónico, sitio web, USB, etc.

4. Explotación: Explotación de una vulnerabilidad para ejecutar código en el sistema de la víctima.

5. Instalación: Instalación de malware en el dispositivo de la víctima.

6. Comando y Control: Canal de comando para la manipulación remota de la víctima.

7. Acciones sobre objetivos: Con acceso al dispositivo de la víctima, esta sería la última fase donde el intruso lograría y completaría los objetivos originales del ataque.


Ahora profundicemos un poco en MITRE ATT&CK® Framework.


MITRE ATT&CK


MITRE ATT&CK es una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversarias basadas en observaciones del mundo real. MITRE, una organización sin fines de lucro comenzó a desarrollar ATT&CK en 2013, mientras trabajaba con varias agencias del gobierno de los Estados Unidos.


ATT&CK, que significa Adversarial Tactics, Techniques, & Common Knowledge, fue lanzado oficialmente en mayo de 2015, pero ha sufrido varias actualizaciones, generalmente trimestrales, desde entonces.


Este marco fue pensado y creado para documentar mejor los comportamientos de los adversarios, además de los comportamientos, el grupo quería una forma de clasificar cómo los atacantes interactuaban con los sistemas.


A diferencia de Cyber Kill Chain, ATT&CK utiliza tácticas en lugar de fases. ATT&CK consta de 14 tácticas, puedes pensar en esta táctica como, ¿Qué objetivo quería lograr el atacante al comprometer el objetivo?



Las 14 tácticas de MITRE ATT&CK.

1. Reconocimiento: Consiste en técnicas que involucran a los adversarios que recopilan información de forma activa o pasiva que se puede utilizar para apoyar la orientación.

2. Desarrollo de recursos: Estas son las técnicas que implican crear, comprar o comprometer / robar recursos que se pueden usar para respaldar la orientación.

3. Acceso inicial: Estas son las técnicas que utilizan varios vectores de entrada que pueden ganar su punto de apoyo inicial dentro de la red.

4. Ejecución: Esto es similar a la Cyber Kill Chain; el intruso está intentando ejecutar código malicioso.

5. Persistencia: Estas son las técnicas que el adversario (intruso) utiliza para mantener su punto de apoyo en la red mediante reinicios, cambios de contraseña y otras interrupciones que podrían cortar el acceso a la red.

6. Escalada de privilegios: Aquí es donde el adversario está tratando de obtener permisos de nivel superior. Estas técnicasaprovechan las debilidades del sistema para elevar el acceso de los usuarios.

7. Evasión de defensa: Ahora, el adversario está tratando de pasar desapercibido. Estas técnicas se utilizarán para la evasión de defensa, como desinstalar o deshabilitar software de seguridad o cifrar datos y scripts.

8. Acceso a credenciales: El adversario ahora está tratando de robar cuentas y contraseñas. Las técnicas utilizadas para obtener credenciales incluirán Keylogging o volcado de credenciales.

9. Descubrimiento: El adversario tiene acceso, ahora está tratando de averiguar su entorno, a dónde ir. Las técnicas utilizadas aquí ayudan a los adversarios a observar el entorno y orientarse antes de decidir cómo actuar.

10. Movimiento lateral: El adversario ahora se está moviendo a través de su entorno. Las técnicas utilizadas serán, exploración de la red para encontrar el objetivo y posteriormente acceder a su objetivo principal. Se utilizarán herramientas de acceso remoto.

11. Recopilación: El adversario ahora está tratando de recopilar datos de interés para su objetivo. El adversario intentará recopilar datos y robar datos que puedan ser de su interés. El adversario atacará objetivos comunes como varios tipos de unidades, navegadores, correo electrónico, etc.

12. Comando y control: Aquí es donde el adversario comienza a tratar de comunicarse con los sistemas comprometidos para obtener el control de ellos. Las técnicas utilizadas en esta táctica serán imitar el tráfico normal y esperado para evitar la detección.

13. Exfiltración: El adversario ahora está tratando de robar datos. Estas son técnicas que los adversarios pueden usar para robar datos de la red. Una vez que recopilan datos, los adversarios a menudo los empaquetan para evitar la detección mientras los eliminan. Parte de esto es la compresión y el cifrado de datos.

14. Impacto: El adversario ahora está tratando de manipular, interrumpir o destruir sus sistemas y datos. Las técnicas utilizadas para el impacto pueden incluir la destrucción o manipulación de datos.


Hay mención de técnicas en cada táctica explicada anteriormente. Estas técnicas son formas en que el adversario puede atacar o procederá a llegar a su objetivo principal. Ahora, cada Táctica tiene varias Técnicas, actualmente, ATT&CK tiene un registro de 218 técnicas obtenidas y asignadas en torno a las Tácticas.


Ahora que sabemos que tanto Cyber Kill Chain como MITRE ATT&CK utilizaron fases o tácticas similares, podemos sumergirnos en las diferencias de uno a otro.


Diferencia entre Cyber Kill Chain y MITRE ATT&CK.

Ahora, basándonos en lo que hemos visto sobre lo que Cyber Kill Chain y MITRE ATT&CK cubren, podemos decir que ambos siguen una narrativa similar de un ataque, por ejemplo, irrumpir, no ser arrestados, robar algunos datos. Sin embargo, hay una gran diferencia entre uno y otro, mientras que Cyber Kill tiene una secuencia lineal de fases claramente definida, el marco ATT&CK es una matriz de técnicas de intrusión que no se limita a un orden u operaciones específicas.


Lo que hace Cyber ​​Kill Chain es que aplica el concepto militar de un modelo de kill chain a un ciberataque. Está diseñado para que los defensores mejoren sus defensas analizando el libro de jugadas de un atacante (la cadena de eliminación) e interrumpiendo el ataque rompiendo la cadena de eliminación en cada fase, ya que con MITRE ATT&CK tiene una forma más dinámica de analizar lo que un atacante podría hacer y ser. mejor en la prevención. Como puede ver en los eventos actuales y en cómo avanza el mundo cibernético, la cuestión de un ataque no es si, sino cuándo. ¿Significa esto que ATT&CK es una mejor manera de manejar un incidente o basa sus sistemas en él? La respuesta simple, es No.


Ambos modelos proporcionan una forma de contraataque y una forma de detener un ataque según sea necesario. Como casi todo en el campo de la tecnología, es difícil quedarse con un modelo durante varios años, ya que todo sigue avanzando y evolucionando a la velocidad de la luz. No existe un modelo a prueba de balas y necesitarás todas las “armas” que tengas a tu disposición.


"ATT&CK y CyberKill Chain son complementarios. ATT&CK se encuentra en un nivel de definición más bajo para describir el comportamiento del adversario que la Cyber Kill Chain. Las tácticas de ATT&CK no están ordenadas y pueden no ocurrir todas en una sola intrusión porque los objetivos tácticos del adversario cambian a lo largo de una operación, mientras que la Cyber Kill Chain utiliza fases ordenadas para describir los objetivos del adversario de alto nivel".

-MITRE ATT&CK PREGUNTAS FRECUENTES



Autor: Francisco Cosio

Ingeniero Senior de Seguridad

Brier & Thorn

58 views0 comments

Recent Posts

See All