Cómo detener el ciclo de vida de los ciberataques

Cuando los ciberdelincuentes preparan su estrategia para infiltrarse en la red de una organización y exfiltrar datos, siguen las distintas fases que componen el ciclo de vida del ataque. Para salirse con la suya, tienen que superar todas las fases. Si logramos bloquear a los adversarios en cualquier punto de este ciclo, la cadena del ataque se rompe. Para evitar ataques a la red y los datos de una empresa, la prevención debe tener lugar en todas las fases, pues solo así se impedirá a los atacantes acceder a la organización y moverse lateralmente o robar datos confidenciales. A continuación se detallan las fases del ciclo de vida de un ataque y los pasos que se deberían dar en cada una de ellas para prevenirlo.

1. Reconocimiento:

Durante la primera fase del ciclo de vida de un ataque, los ciberdelincuentes planean con cuidado su «modus operandi». Estudian, identifican y seleccionan objetivos que les puedan resultar útiles para salirse con la suya. Para recopilar inteligencia, recurren a fuentes disponibles públicamente, como X, LinkedIn y sitios web corporativos. Asimismo, buscan vulnerabilidades que puedan explotar en la red, los servicios y las aplicaciones que tienen en el punto de mira, y delimitan las áreas de las que pueden aprovecharse. En esta fase, los atacantes buscan vulnerabilidades desde el punto de vista humano y de los sistemas.

• Inspeccione constantemente el tráfico de la red para detectar y prevenir el análisis de puertos y el barrido de hosts.
• Conciencie a los usuarios sobre la importancia de la seguridad para que tengan en cuenta qué tipo de contenidos pueden publicarse y cuáles no: documentos confidenciales, listas de clientes, asistentes a eventos, cargos y responsabilidades (por ejemplo, quién usa determinadas herramientas de seguridad dentro de una organización), etc.

2. Preparación y distribución:

A continuación, los atacantes deciden qué métodos utilizar para distribuir cargas útiles maliciosas. Por ejemplo, pueden recurrir a herramientas automatizadas, como kits de exploits, ataques de spear phishing con enlaces maliciosos o archivos adjuntos y publicidad maliciosa.

• Disfrute de plena visibilidad de todo el tráfico, incluido el SSL, y bloquee las aplicaciones de alto riesgo. Lleve esos mecanismos de protección también a los dispositivos remotos y móviles.
• Bloquee los sitios web maliciosos o peligrosos mediante el filtrado de URL para evitar brechas en el perímetro.
• Bloquee los exploits, el malware y las comunicaciones de comando y control de entrada conocidos usando distintas técnicas de prevención de amenazas, como los sistemas de prevención de intrusiones (IPS), las herramientas para combatir el malware y la actividad de comando y control (CnC), la tecnología de supervisión y sinkholing de DNS, y el bloqueo de archivos y contenidos.
• Detecte malware desconocido y aplique medidas de protección automáticamente a escala global para evitar nuevos ataques.
• Proporcione una formación continua a los usuarios sobre los enlaces de spear phishing, mensajes de correo electrónico desconocidos, sitios web peligrosos, etc.

3. Explotación:

En esta fase, los atacantes implementan un exploit contra un sistema o aplicación vulnerable, por lo general utilizando un kit de exploits o un documento convertido en arma. De este modo, consiguen un punto de acceso inicial a la organización.

• Bloquee los exploits de vulnerabilidades conocidas y desconocidas en el endpoint.
• Distribuya automáticamente los nuevos mecanismos de protección a escala global para frenar posibles ataques sucesivos.

4. Instalación:

Una vez han conseguido infiltrarse en el entorno, los atacantes instalan malware para llevar a cabo otras operaciones, como el mantenimiento del acceso, la persistencia y el acceso a privilegios de mayor nivel.

• Prevenga la instalación de malware, sea conocido o desconocido, en el endpoint, la red y los servicios en la nube.
• Establezca zonas seguras con un control estricto del acceso de los usuarios y supervise e inspeccione constantemente el tráfico que circula entre las distintas zonas según el modelo Zero Trust (confianza cero).
• Limite los privilegios de acceso de administrador local.
• Enseñe a los usuarios a reconocer los síntomas de infección de malware y a saber cómo actuar si ocurre algo.

5. Comando y control:

Una vez instalado el malware, los atacantes controlan la conexión a ambos lados: su infraestructura maliciosa y el equipo infectado. De este modo, pueden controlar activamente el sistema y dar instrucciones para las siguientes fases del ataque. En esta fase, establecen un canal de comandos para comunicar y transmitir datos entre los distintos dispositivos infectados y su propia infraestructura.

• Bloquee las comunicaciones salientes de comando y control, así como las cargas de patrones de archivos y datos.
• Redirija la comunicación saliente maliciosa a sinkholes internos para detectar y bloquear los hosts en riesgo.
• Bloquee la comunicación saliente a URL maliciosas conocidas mediante el filtrado de URL.
• Cree una base de datos de dominios maliciosos para garantizar la prevención y darlos a conocer a escala global mediante la supervisión de DNS.
• Limite la capacidad de los atacantes de moverse lateralmente con herramientas y scripts desconocidos mediante la implementación de un control detallado de las aplicaciones que permita únicamente las autorizadas.

6. Acciones encaminadas a lograr el objetivo:

Ahora que los adversarios tienen el control, la persistencia y una vía de comunicación permanente, es el momento de poner en marcha las operaciones que les ayudarán a lograr su objetivo, ya sea exfiltrar datos, destruir infraestructura crítica, desfigurar un sitio web, amedrentar o crear un medio de extorsión.

• Ayúdese de herramientas de inteligencia sobre amenazas para buscar indicadores de riesgo en la red de forma proactiva.
• Tienda puentes entre el centro de operaciones de seguridad (SOC) y el centro de operaciones de red para establecer los debidos controles basados en la prevención.
• Supervise e inspeccione todo el tráfico que circula entre las distintas zonas y aplique a los usuarios controles de acceso a las zonas seguras.
• Bloquee las comunicaciones salientes de comando y control, así como las cargas de patrones de archivos y datos.
• Bloquee la comunicación saliente a URL maliciosas conocidas mediante el filtrado de URL.
• Implemente un control detallado de las aplicaciones y los usuarios para implementar políticas de aplicaciones de transferencia de archivos en la empresa, eliminando las tácticas conocidas de archivado y transferencia y limitando la capacidad de los atacantes de moverse lateralmente con herramientas y scripts desconocidos.

Los ataques avanzados son muy complejos y, para que tengan éxito, tienen que superar todas las fases del ciclo de vida. Si no logran aprovechar las vulnerabilidades, no podrán instalar malware ni hacerse con el comando y control del sistema.

La interrupción del ciclo de vida de un ataque no solo depende de la tecnología, sino también de las personas y del proceso. Hay que proporcionar formación continua a los profesionales y concienciarles sobre la importancia de la seguridad, además de enseñarles las prácticas recomendadas que permiten reducir al mínimo la probabilidad de que un ataque supere la primera fase. Asimismo, se necesitan procesos y políticas que permitan corregir el problema si un ciberdelincuente logra llegar hasta el final del ciclo de vida del ataque.

En el ámbito de la ciberseguridad, la guerra es asimétrica: un atacante tiene que hacer todo bien para salirse con la suya, mientras que el responsable de proteger la red solo tiene que hacer bien una cosa para prevenir un ataque y tiene muchas oportunidades para ello. Para saber más sobre cómo interrumpir el ciclo de vida de un ataque y sobre las tecnologías de prevención que ofrece Palo Alto Networks para cada fase, lea el artículo sobre cómo detener el ciclo de vida de un ataque.