Existen múltiples fases en un ciberataque activo y cada una de ellas es un eslabón peligroso en una compleja cadena asesina que da a los delincuentes la oportunidad de espiar, difundir y robar información crítica en cargas de trabajo nativas e híbridas de cloud y dispositivos de usuario e IoT.
Al proporcionar una visibilidad de alta fidelidad de todas las cargas de trabajo y el tráfico de red, la plataforma Cognito impulsada por IA de Vectra detecta comportamientos de amenazas en tiempo real en cada fase del ciclo de vida del ataque.
Fases del ciclo de vida del ataque
Es fundamental saber cuándo un ataque avanza de una fase a la siguiente. Por ejemplo, un ataque que avanza de la fase de reconocimiento interno a la fase de movimiento lateral puede ser más significativo que la suma de sus partes.
Algunos eventos en fases del ciclo de vida del ataque son más indicativos de ataques dirigidos que otros. Por ejemplo, los comportamientos oportunistas de monetización de botnets pueden indicar la presencia de crimeware, pero no son ataques dirigidos. Sin embargo, los comportamientos de reconocimiento interno y movimiento lateral son claros indicadores de ataques dirigidos.
A continuación se presenta un desglose y una descripción general de cada fase del ciclo de vida del ataque.
Mando y control
Los comportamientos de C&C se producen cuando los dispositivos parecen estar bajo el control de una entidad maliciosa externa. La mayoría de las veces, el control está automatizado porque el dispositivo forma parte de una botnet o tiene instalado adware o spyware. En raras ocasiones, pero lo más importante, un dispositivo puede ser controlado manualmente por un nefasto intruso. Este es el caso más amenazador y a menudo significa que el ataque está dirigido a una organización específica.
Reconocimiento interno
Los comportamientos de los atacantes de reconocimiento se producen cuando se utiliza un dispositivo para mapear la infraestructura de la empresa. Esta actividad suele formar parte de un ataque dirigido, aunque podría indicar que los botnets están intentando propagarse internamente a otros dispositivos. Los tipos de detección abarcan escaneos rápidos y lentos de sistemas, puertos de red y cuentas de usuario.
Movimiento lateral
El movimiento lateral cubre escenarios de acción lateral destinados a promover un ataque dirigido. Esto puede implicar intentos de robar credenciales de cuentas o robar datos de otro dispositivo. También puede implicar comprometer otro dispositivo para hacer más duradera la posición del atacante o para acercarse a los datos del objetivo. Esta fase del ciclo de vida del ataque es la precursora del paso a los centros de datos privados y las nubes públicas.
Exfiltración de datos
Los comportamientos de exfiltración de datos se producen cuando los datos se envían al exterior de una forma que pretende ocultar la transferencia. Normalmente, las transferencias de datos legítimas no implican el uso de técnicas destinadas a ocultar la transferencia. El dispositivo que transmite los datos, dónde los transmite, la cantidad de datos y la técnica utilizada para enviarlos son indicadores de exfiltración.
Monetización de botnets
Las redes de bots son comportamientos de ataque oportunistas en los que un dispositivo genera dinero para su poseedor de bots. Las formas en que un dispositivo infectado puede ser utilizado para producir valor pueden ir desde la minería de bitcoins hasta el envío de correos electrónicos de spam o la producción de clics en anuncios falsos. Para obtener beneficios, el responsable del bot utiliza los dispositivos, sus conexiones de red y, sobre todo, la reputación intachable de sus direcciones IP asignadas.
Para obtener más información sobre los comportamientos de las amenazas en cada fase del ciclo de vida del ataque, descargue el Informe del sector sobre el comportamiento de los atacantes 2019 o póngase en contacto con nosotros en vectra.ai/demo.