martes, 9 de abril de 2013

Conceptos de Ciberguerra: Intrusion Kill Chain

En la terminología militar norteamericana "Kill Chain" es la secuencia de eventos que se produce durante un ataque contra una posición enemiga. Se compone básicamente de los siguientes elementos:
•    Identificación del objetivo.
•    Despliegue de fuerzas hacia el objetivo.
•    Decisión y orden de atacar.
•    Destrucción del objetivo.

Una de las mayores revoluciones en táctica militar (gracias principalmente a la tecnología) ha sido conseguir que el tiempo que pasa entre una fase y otra se reduzca para conseguir mayor efectividad.

Este concepto ha sido adoptado de forma interesante por algunos expertos en ciberguerra con términos como "cyber kill chain" o "intrusion kill chain".

La adopción de este término se debe a que el proceso de "kill chain" encaja bastante bien con el proceso tradicional de "hacking" por sus similitudes (sobre todo con el concepto APT) y porque permite planificar las acciones tácticas de forma ordenada.

El desarrollo de eventos típicos de una "intrusion kill chain" es:
•    Reconocimiento: Recogida de información previa (direcciones IP, emails, nombres, URLs).
•    Preparación de las armas: Adquisición y adaptación de las herramientas de hacking necesarias (exploits, payloads, troyanos).
•    Entrega: Envío del exploit (red local, Internet, email, disco USB).
•    Explotación: Aprovechamiento de una vulnerabilidad o descuido para ejecutar código en el objetivo.
•    Instalación: Instalación de malware, puertas traseras y herramientas en el objetivo.
•    Comando y Control: Comunicación remota con el malware y las puertas traseras instaladas.
•    Acciones en el objetivo: Cumplimiento de las metas de la misión.
  
   
En este caso la meta final de una "kill chain", la destrucción del objetivo, normalmente no es posible. Pero la planificación del resto de acciones tiene bastantes similitudes con el proceso tradicional.

En el entorno cyber-ofensivo también es importante minimizar los tiempos entre fases, para reducir la probabilidad de que las vulnerabilidades sean corregidas, para evitar que las puertas traseras sean detectadas y para dificultar que puedan llevarse a cabo acciones defensivas.

Este proceso ofensivo-defensivo está bastante bien desarrollado en un documento de LockheedMartin de lectura muy recomendable: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains