Los cibercriminales desarrollan y aprovechan tácticas sofisticadas para ejecutar estafas. Asignar estas tácticas a un marco como MITRE ATT&CK ayuda a las empresas a comprender cómo se aplican estas técnicas a sus procesos y defensas de ciberseguridad.
Las tácticas específicas del MITRE ATT&CK que utilizan los adversarios pueden ser empleadas para implementar medidas de ciberseguridad sólidas. Este artículo explora cómo los cibercriminales explotan tácticas como T1590, T1203, T1657 y T1496 para lograr sus objetivos maliciosos, y aborda estrategias para que las organizaciones se protejan.
Ejemplo de "KILL-CHAIN" de un ataque
Uso de Reconocimiento (T1590): los adversarios recopilan información sobre la red, la infraestructura y el personal de la organización objetivo para identificar posibles vulnerabilidades. Al comprender el funcionamiento y las debilidades de un objetivo, los atacantes pueden diseñar ataques precisos y precisos, como campañas de phishing selectivo o implementación de malware dirigido. La falta de supervisión y gestión de la seguridad de la red y del uso de los recursos puede dejar expuestas estas vulnerabilidades.
Explotación para la ejecución del cliente (T1203). Una vez que el adversario comprende las debilidades, pasa a la acción, explotando las vulnerabilidades de las aplicaciones de software y así ejecutar código malicioso en el sistema de destino. Al obtener acceso inicial, los cibercriminales pueden aumentar los privilegios dentro de una red. Este punto de apoyo les permite moverse lateralmente y desplegar más actividades maliciosas. Las actualizaciones de software periódicas y la gestión de parches son fundamentales para mitigar estos riesgos de infiltración.
Impacto: manipulación de datos (T1657). A menudo, los adversarios obtienen el control de las comunicaciones y alteran el flujo de negocios. Con esto, los atacantes pueden cambiar directivas o implementar nuevas instrucciones con autoridad, alterando los datos para afectar las operaciones comerciales, engañar a las partes interesadas o llevar a cabo robos financieros. Y una vez dentro de la red, los atacantes pueden manipular los registros financieros o los datos de las transacciones para redirigir fondos o crear transacciones fraudulentas, lo que genera pérdidas financieras para la organización.
Secuestro de recursos (T1496). Una vez que el atacante está en nuestra red, puede tomar el control de los recursos mediante esta táctica que consiste en explotar los recursos de una organización con fines no autorizados, como la minería de criptomonedas o el uso de los recursos del sistema para futuros ataques. Los atacantes pueden utilizar sistemas comprometidos para tareas que consumen muchos recursos, lo que genera mayores costos operativos y posibles ralentizaciones del sistema, o utilizar la seguridad de las redes comprometidas y abusar de las relaciones de confianza para infectar u obtener acceso a otras redes.
Protección contra estas tácticas
Monitoreo continuo: La implementación de un monitoreo continuo de las actividades de los usuarios, los comportamientos y el uso de los recursos puede ayudar a detectar anomalías que pueden indicar actividades maliciosas. Las herramientas como los sistemas SIEM (Gestión de eventos e información de seguridad) son esenciales para identificar patrones inusuales y responder con prontitud a amenazas que de otro modo serían invisibles. Estos sistemas deben estar alimentados con inteligencia cibernética para ser efectivos y bloquear todas las amenazas conocidas. Se recomienda desarrollar un plan de respuesta a incidentes para garantizar una respuesta rápida y eficaz a los incidentes de seguridad.
Actualice y aplique parches al software con regularidad para cerrar las vulnerabilidades conocidas. Realice evaluaciones de vulnerabilidad y pruebas de penetración para identificar y remediar las brechas de seguridad.
Concientización en temas de ciberseguridad. Capacite a los equipos en para que los empleados puedan reconocer eficazmente los intentos de phishing y otras tácticas de ingeniería social. Esto puede abrir el espacio para que las personas se involucren en estos temas y fomenten una cultura de responsabilidad y seguridad proactiva con prácticas más seguras dentro de la organización.
Utilice la inteligencia de amenazas y los boletines de seguridad para mantenerse informado sobre las amenazas emergentes y ajustar las medidas de seguridad en consecuencia.
La complejidad de las amenazas de ciberseguridad, en particular las dirigidas a estafas financieras, requiere un enfoque multifacético. Al comprender las tácticas que utilizan los adversarios y relacionarlas con sus procesos de ciberseguridad y contramedidas, las organizaciones pueden protegerse mejor de este robo cibernético.
Sabiendo lo anterior, también tenga en cuenta que estos desafíos no deben afrontarse en solitario. La colaboración con expertos en ciberseguridad puede ayudar a las organizaciones a lograr un equilibrio entre las capacidades internas y los servicios subcontratados, lo que garantiza una postura de seguridad resistente contra las amenazas cibernéticas sin perder el foco en su negocio principal.
Comentarios