Please enable JavaScript.
Coggle requires JavaScript to display documents.
The Unified Kill Chain (UKC) - Coggle Diagram
The Unified Kill Chain (UKC)
Diseño
Enfoque de investigación híbrido, combinando la ciencia del diseño con métodos de investigación cualitativa
Combina los modelos prediseñados: Cyber Kill Chain(CKC) y Time-Agnostic Nature of the Tactics (ATT&CK)
Fases
Se describen los ataques a nivel táctico, en el que los eventos tienden a consumar el ataque.
Aquí, pueden combinarse múltiples fases tácticas de un ataque con el fin de alcanzar objetivos intermedios.
En este sentido, se tiene la siguiente subclasificación:
Entrada
Entrega
Técnicas que dan lugar a la transmisión de un objeto armado al entorno objetivo
IngenieríaSocial
Técnicas destinadas a manipular a las personas para que realicen acciones inseguras.
Explotación
Técnicas para explotar vulnerabilidades en los sistemas que pueden, entre otras cosas, dar lugar a la ejecución de código.
Persistencia
Cualquier acceso, acción o cambio en un sistema que proporcione a un atacante una presencia persistente en el mismo.
Defensa Evasión
Técnicas que un atacante puede utilizar específicamente para evadir la detección o evitar otras defensas.
Mando y Control
Técnicas que permiten a los atacantes comunicarse con sistemas controlados dentro de una red objetivo.
Reconocimiento
Actividades preparatorias destinadas a crear la infraestructura necesaria para el ataque.
Desarrollo de recursos
Investigación, identificación y selección de objetivos mediante reconocimiento activo o pasivo
Durante
Descubrimiento
Técnicas que permiten a un atacante obtener conocimientos sobre un sistema y su entorno de red.
Escalada de Privilegios
El resultado de técnicas que proporcionan a un atacante permisos superiores en un sistema o red.
Ejecución
Técnicas que resultan en la ejecución de código controlado por el atacante en un sistema local o remoto.
Acceso con credenciales
Técnicas que dan lugar al acceso o control de credenciales de sistemas, servicios o dominios.
Movimiento Lateral
Técnicas que permiten a un adversario acceder horizontalmente a otros sistemas remotos y controlarlos.
Pivotante
Túnel de tráfico a través de un sistema controlado a otros sistemas que no son directamente accesibles
Salida
Exfiltración
Técnicas que provocan o ayudan a un atacante a eliminar datos de una red objetivo.
Impacto
Técnicas destinadas a manipular, interrumpir o destruir el sistema o los datos objetivo.
Objetivos
Objetivos sociotécnicos de un ataque que pretenden alcanzar un objetivo estratégico.
Colección
Técnicas utilizadas para identificar y recopilar datos de una red objetivo antes de la exfiltración.
Usos
Modelado de ciberataques específicos y actores de amenazas
Cuanto más fuerte sea la postura de seguridad, se espera que sea más larga la cadena de ataque.
La longitud de las cadenas de ataque está determinada por el modus operandi del atacante y la postura defensiva de las organizaciones objetivo.
La longitud de una cadena de ataque depende de la cantidad de tácticas utilizadas para alcanzar el objetivo.
Se pueden comparar múltiples cadenas de ataque específicas para entender cómo convergen o divergen los ataques a nivel táctico.
Las cadenas de ataque específicas analizan las complejidades de ataques individuales, y las cadenas específicas del actor demuestran tácticas en el repertorio de un actor.
Puede utilizarse para describir el comportamiento de los atacantes en ataques individuales o el modus operandi táctico de un atacante.
La Cadena Unificada de Ataque proporciona información sobre tácticas empleadas en ataques cibernéticos avanzados.
Reajustar las estrategias defensivas
La suposición desafiada es que un atacante debe progresar con éxito a través de cada etapa de la cadena para lograr su objetivo; una mitigación en cualquier etapa puede interrumpir la cadena y al adversario.
En ataques individuales, algunas tácticas pueden ocurrir fuera de su secuencia esperada o ser completamente eludidas.
Esto desafía la idea fundamental de que los ataques pueden ser frustrados al interrumpir cualquiera de las fases en la cadena de eventos.
En lugar de centrarse en interrumpir ataques en las primeras fases, estrategias defensivas que se centran en fases más frecuentes o vitales para la formación de una ruta de ataque se consideran más exitosas.
Se destaca la importancia de crear, asegurar y monitorear puntos de estrangulamiento que obliguen a los atacantes a cambiar de dirección antes de actuar en sus objetivos.
Estos puntos de estrangulamiento pueden lograrse mediante medidas como la segmentación de la red en combinación con el aislamiento de zonas de gestión de identidad y acceso.
Es difícil prevenir la compromisión de todos los sistemas conectados a Internet en una red grande, pero los enfoques que defienden un número limitado de activos críticos pueden ser más exitosos.
Las organizaciones pueden aumentar significativamente su resistencia al centrarse en las fases de ataque dentro de su red interna, que allanan el camino para actuar en los objetivos.
Alcance de la cadena de muerte unificada (UCK)
La Cadena Unificada de Ataque se utiliza para modelar todas las actividades que suelen ocurrir durante los ataques cibernéticos, desde las primeras actividades exploratorias de atacantes externos hasta los objetivos finales detrás del perímetro organizacional.
La Cadena Unificada de Ataque se basa en modelos anteriores, incluyendo, pero no limitándose a, la Cyber Kill Chain® de Lockheed Martin y el modelo ATT&CK™ for Enterprise de MITRE.
La incorporación de fases relevantes (Cyber Kill Chain®) y tácticas (ATT&CK™) en un modelo unificado permite a los profesionales de ciberseguridad combinar y ampliar el poder explicativo colectivo para modelar los ataques cibernéticos modernos de manera integral.
Mejoras adicionales en la cadena de muerte unificada(UCK)
Contextualiza las tácticas sin tener en cuenta el tiempo de ATT&CK™ dentro de un modelo de cadena de ataque, proporcionando información sobre el arreglo ordenado de estas tácticas y mostrando el orden típico en el que ocurren como fases en ataques reales.
Explica por qué las tácticas se producen en conjuntos de secuencias distintas como fases dentro de los ataques, lo cual es valioso para desarrollar una estrategia de defensa en profundidad adecuada.
Una interpretación más amplia de "weaponization" supera críticas anteriores sobre la presencia de esta fase en modelos de cadena de ataque, haciendo que las actividades preparatorias del atacante sean lógicamente distintas, relevantes y observables.
La separación explícita de Ingeniería Social de la Explotación destaca el papel de los usuarios en la ejecución de ataques y reconoce su importancia en la primera línea de defensa.
Considera a los usuarios como un sistema de alerta temprana si están informados sobre su papel en la seguridad de activos críticos y aprenden comportamientos apropiados.
Es adecuada para una amplia gama de objetivos potenciales de atacantes, incluyendo sabotaje y manipulación, además del enfoque tradicional en espionaje.
Cubre la tríada de ciberseguridad Confidencialidad, Integridad y Disponibilidad (CIA), modelando el Impacto además de la Colección y Extracción.
Hace explícitos los objetivos de los atacantes, alentando a los defensores a tener en cuenta los objetivos estratégicos de los atacantes para una comprensión más profunda de la interconexión de las actividades del atacante y para enfocarse en los activos que es probable que los atacantes tengan como objetivo.
Referencias
Pols, P. (2023). The Unified Kill Chain. Boston: GNU GPL v2.
Concepto
La UKC es un framework de ciberseguridad capaz de comprender cómo funcionan los ataques cibernéticos y desarrollar estrategias de solución
Problemática
Las organizaciones dependen cada vez más de las Técnologías de la Información y la Comunicación, convirtiéndose en presa fácil de ataques cibernéticos por parte de ciberdelincuentes en incluso organizaciones gubernamentales
Tentativa solución
Modelar las amenazas y defenderse contra ciberataques, desde las etapas temparanas del ciberataque hasta la conquista del ciberdelincuente
Conclusiones
El objetivo principal del autor es generar conciencia en las organizaciones para que se hagan más fuertes contra los ciberataques, entendiendo de forma más profunda el cómo suceden. Por lo tanto, he clasificado mis conclusiones por ámbitos de mayor espectro y con ideas simples, pero concisas , lo cuales son:
Comprensión de ataques modernos
Si no entendemos bien cómo suceden los ataques modernos, podemos gastar dinero de manera ineficiente en protegernos.
Objetivo de la Cadena Unificada de Ataque (UKC)
Queremos entender cómo los atacantes avanzados realizan sus ataques, desde el principio hasta el final.
Equilibrio entre Atacantes y Defensores
Aunque se piensa que los atacantes siempre tienen la ventaja, nuestra idea es que la situación es más equilibrada de lo que se cree.
Estrategia de defensa en capas
Es importante protegerse en diferentes niveles y adaptarse a las amenazas que se enfrenta, asumiendo que en algún momento podría estar siendo vulnerado.
Vulnerabilidad ante Tecnología de la Información y Comunicación (TIC)
Como dependemos cada vez más de la tecnología, estamos más expuestos a los ataques cibernéticos.
umento esperado de ciberataques
Debido a la falta de un sistema global eficaz para manejar cuestiones cibernéticas, anticipamos que habrá más y más fuertes ataques cibernéticos.
Valor de Modelos de Ataque como la Cadena Unificada
Creemos que utilizar modelos como la Cadena Unificada de Ataque puede ayudarnos a entender y prevenir mejor los ataques cibernéticos, haciéndonos más fuertes contra ellos.