Cyberkill Chain y Defensa en Capas \(DiD\)
Cyberkill Chain y Defensa en Capas
La Cyberkill Chain es un modelo que describe las etapas de un ataque cibernético mientras que la Defensa en Capas propone una estrategia de seguridad multinivel.
Reconocimiento
Identificación de objetivos y recopilación de información.
Educación de Usuarios
Entrenar a los empleados para reconocer tácticas de ingeniería social y phishing.
Seguridad Perimetral
Implementar firewalls y sistemas de prevención de intrusiones para detectar escaneos malintencionados.
Análisis de Vulnerabilidades
Ejecución regular de pruebas de vulnerabilidad y evaluaciones de riesgos.
Armamento
Creación de malware o herramientas de ataque dirigidas a las vulnerabilidades identificadas.
Antivirus y Anti-malware
Mantener soluciones actualizadas para detectar y prevenir software malicioso.
Gestión de Parches
Aplicación efectiva y oportuna de parches de seguridad en software y sistemas.
Respuesta a Incidentes
Desarrollar y ensayar un plan de respuesta ante incidentes de seguridad.
Entrega
Transmisión del malware al sistema objetivo.
Filtrado de Correo Electrónico
Utilizar filtros anti-spam y escaneo de adjuntos en correos electrónicos.
Seguridad de Endpoint
Habilitar defensas en los dispositivos finales como cifrado y control de dispositivos.
Control de Acceso a la Red
Segmentación de la red y restricciones de acceso basadas en roles.
Explotación
Ejecución del código malicioso para comprometer el objetivo.
Pruebas de Penetración
Simular ataques para identificar y corregir debilidades explotables.
Sistemas de Detección de Intrusos
Monitorización en tiempo real para detectar comportamientos anómalos.
Aislamiento de Sistemas
Capacidad para aislar rápidamente sistemas comprometidos y limitar el daño.
Instalación
Establecimiento de la presencia del atacante en el sistema comprometido.
Control de Acceso
Implementar autenticación fuerte, principio de menor privilegio y control de acceso.
Monitoreo y Registro
Mantener registros detallados de eventos y monitorear constantemente la red.
Endurecimiento de Sistemas
Configurar sistemas para minimizar las superficies de ataque.
Comando y Control (C2)
Control remoto del sistema comprometido por el atacante.
Encriptación del Tráfico
Utilizar encriptación para proteger las comunicaciones de red de la interceptación.
Análisis de Tráfico de Red
Monitorizar patrones de tráfico anómalos que puedan indicar C2.
Desconexión de Red
Tener la capacidad de desconectar redes o sistemas en caso de detección de C2.
Acciones sobre Objetivos
El atacante logra su objetivo final, como robo de datos o daño al sistema.
Respuestas Automatizadas
Implementar sistemas que reaccionen automáticamente a comportamientos sospechosos.
Cifrado de Datos
Proteger datos sensibles mediante cifrado tanto en reposo como en tránsito.
Copias de Seguridad
Mantener copias de seguridad actualizadas y probadas para recuperación de datos en caso de ataques.