Modelos de Ataque e Defensa
Para comprender e simular ataques reais, existen modelos estratéxicos empregados polos Red Teams e defensores.
Cyber Kill Chain
Cyber Kill Chain, desenvolvido por Lockheed Martin, describe as fases dun ataque dirixido:
| Fase nº | Nome | Descrición |
|---|---|---|
| 1 | Recoñecemento | Obtención de información |
| 2 | Armamento | Preparación de ferramentas |
| 3 | Entrega | Envío do vector de ataque |
| 4 | Explotación | Execución da vulnerabilidade |
| 5 | Instalación | Backdoor ou malware |
| 6 | Comando e Control (C2) | Comunicación co atacante |
| 7 | Accións sobre o obxectivo | Exfiltración, sabotaxe ou espía |
Este modelo permite visualizar a progresión dun ataque e identificar puntos de detección e mitigación.
Matriz MITRE ATT\&CK
A matriz MITRE ATT\&CK é un repositorio de tácticas e técnicas usadas por atacantes reais, organizada por fases do ataque.
graph TD
IA[Initial Access
Spearphishing, Drive-by]
EX[Execution
PowerShell, Scripts]
PE[Persistence
Registry Run Keys]
PR[Privilege Escalation
Token Manipulation]
DE[Defense Evasion
Obfuscated Files]
CR[Credential Access
Keylogging, Dumping]
DS[Discovery
Network Scanning]
LM[Lateral Movement
Remote Desktop Protocol]
CO[Collection
Screen Capture]
EXF[Exfiltration
Data Transfer Channel]
C2[Command and Control
DNS Tunneling]
IA --> EX --> PE --> PR --> DE --> CR --> DS --> LM --> CO --> EXF --> C2
Este modelo permite mapear comportamentos adversarios e mellorar estratexias defensivas baseadas en técnicas coñecidas.