¿Qué es Cyber Kill Chain?

| Última modificación: 20 de mayo de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Qué es Cyber Kill Chain y por qué es importante aprender sobre este proceso en ciberseguridad?

Proteger un sistema informático de ciberataques requiere una serie de tareas complejas y, de hecho, es toda un área de especialización dentro de la ciberseguridad. Por eso, para la defensa de un sistema corporativo o una aplicación web de gran relevancia, es necesario contar con un grupo de expertos dedicado a la detección y eliminación de amenazas cibernéticas.

Blue Team es el término proveniente de la jerga militar que se utiliza en ciberseguridad para referirse al grupo de expertos que se encarga de la defensa de un sistema. Las tareas que ejecuta el equipo azul son tan variadas que existen diferentes funciones y especialidades para los miembros de estos equipos. Por ejemplo, algunos de ellos cazan amenazas antes de que estas se conviertan en brechas de seguridad, mientras que otros analizan los rastros de los atacantes o se encargan de contraatacarlos.

Por supuesto, es posible que un miembro del equipo azul ejecute dos o más de las tareas que mencionamos en el párrafo anterior. No obstante, existen protocolos que definen el orden en el que se ejecutan todas las funciones propias del Blue Team. Por eso, en este post, hablaremos sobre el proceso que sigue un equipo de defensa para perseguir, detectar y bloquear las amenazas informáticas. A continuación, te explicaremos qué es Cyber Kill Chain.

¿Qué es Cyber Kill Chain?

Cyber Kill Chain es un protocolo de defensa informática que establece los pasos para acabar con una amenaza. De hecho, cabe resaltar que uno de los objetivos principales del Blue Team es eliminar el peligro en el menor tiempo posible. Por lo tanto, se espera que las fases que explicaremos a continuación se realicen antes de que se culmine el ciberataque planeado por el intruso.

Para entender qué es Cyber Kill Chain, veremos cuáles son sus etapas.

Recopilación de información

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Al hablar de Cyber Kill Chain, es bueno tener presente que sus etapas se relacionan directamente con las de un ciberataque. Por eso, comienza por un proceso de recopilación de información sobre posibles amenazas, para bloquearlas antes de que lleguen al sistema. Asimismo, es necesario entender cuáles son las vulnerabilidades de la red o la aplicación a proteger y aplicar todas las medidas de seguridad correspondientes para mitigar las potenciales brechas de seguridad.

Detección de amenazas

La detección de amenazas consiste en un sistema de monitoreo automático que le permita a los investigadores de ciberseguridad ver, en tiempo real, el estado de los dispositivos conectados a una red o los servidores de una aplicación. Para ello, se usan herramientas como Snort, Suricata o las reglas YARA, que comparan el comportamiento de los sistemas con bases de datos desarrolladas por expertos y reglas personalizadas.

Sistema de alerta

Al estudiar qué es Cyber Kill Chain, encontraremos que siempre es necesario contar con un sistema para centralizar las alertas producidas con la detección de amenazas. Es decir, cuando los comportamientos de un dispositivo o un servidor coincidan con las reglas que mencionamos anteriormente, es importante que se dé un reporte automático a una central. Para ello, existen herramientas, como los SIEM, que sirven para automatizar estos procesos.

Triage

La fase de triage del Cyber Kill Chain consiste en determinar el nivel de riesgo que las amenazas representan para el sistema. Es importante que los datos de esta fase sean precisos, ya que se utilizarán para clasificar y darle prioridad a los eventos. Así pues, es necesario tener en cuenta que existen márgenes de error, como los falsos positivos o, por el contrario, malwares elaborados que pasan desapercibidos.

Planeación

La planeación es una fase en la cual el Blue Team determina las medidas de seguridad para eliminar la amenaza. Dependiendo de si el ataque se basa en la explotación de vulnerabilidades de día cero o no, las respuestas pueden estar automatizadas o, por el contrario, pueden requerir tiempo de planeación.

Por ejemplo, también es común que el equipo azul intente contraatacar a los hackers maliciosos que vulneran sus sistemas para conocer la amenaza y bloquearla de raíz. Por eso, la fase de planeación puede requerir un largo tiempo.

Ejecución

Finalmente, la fase de ejecución de qué es Cyber Kill Chain consiste en aplicar las medidas de seguridad escogidas, incluyendo respuestas automatizadas y contraataques a los hackers. No obstante, para llegar a esta etapa, es necesario haber pasado por todas las anteriores.

Inscríbete a nuestro Ciberseguirdad Full Stack Bootcamp para aprender más sobre qué es Cyber Kill Chain y cómo aplicar cada una de sus fases. Especialízate en tan solo 7 meses y aprende sobre temas como Blue Team, análisis de malware, criptografía y mucho más. ¡No sigas esperando para convertirte en un profesional y pide ahora más información!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado