ICS Cyber Kill Chain
Tiempo de lectura estimado: 5 minutos
Esta conferencia magistral pertenece al Módulo 9 “Pentesting” de C1b3rWall Academy 2021/2022. El objetivo de la misma es analizar las fases de la cyber kill chain aplicada en sistemas de control industrial.
Sistemas de control industrial
Son dispositivos que generalmente operan en infraestructuras críticas y funcionan en entornos diferentes a los que conocemos. A día de hoy nos encontramos en el paradigma de la industria 4.0 caracterizada por una alta interconectividad, recopilación de datos, análisis y comunicaciones que se traduce en una alta productividad y optimización de los procesos. Debido a ello, han confluido las IT y las OT, aumentando la superficie de ataque.
Modelo Purdue
Creado en los 90 por Theodore Williams, es un modelo de arquitecturas empresariales que define los diferentes niveles de infraestructuras críticas de la producción y la forma de asegurarlas.
Michale J. Assante y Robert M. Lee adaptaron el modelo cyber kill chain (Lockheed Martin) al mundo del ICS con el fin de entender y visualizar los pasos necesarios para que un grupo de atacantes alcance su objetivo. Consta de dos pasos:
-Fase 1: Instrucción, preparación y ejecución, ejecutada normalmente en la red IT.
- Planificación: Se lleva a cabo un reconocimiento para obtener información, puede tratarse de un reconocimiento activo, hay interacción con el objetivo; o pasivo, en el que solo observamos la información disponible.
- Preparación: Preparamos las herramientas necesarias ahora que conocemos el objetivo. En el ejemplo ficticio utilizaremos dos vectores de ataque: la ingeniería social contra la empleada y contra la infraestructura.
- Actuación: Cuando se encuentra la vulnerabilidad por alguno de los dos vectores, se explota para hacernos con el control de los equipos de las víctimas. Podemos subdividirlo en fase de intrusión, administración del command and control y despliegue.
-Fase 2: Desarrollo y ejecución del ataque, desplegada en el OT.
- Desarrollo: El atacante crea una ofensiva con la información obtenida en las etapas anteriores.
- Validación: Se pretende certificar las nuevas capacidades en un entorno controlado.
- Ataque ICS: Ejecutar el ataque en la infraestructura real.
En la masterclass en vídeo se explica a nivel técnico la ejecución del ejemplo.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Juan Escobar
Consultor Senior en Dreamlab Technologies y miembro de Null Life. Cuenta con certificaciones como OSCE, OSCP y OSWP.
¿Cuál es tu reacción?