INVESTIGACIÓN 48 (I) La revelaciónde información. Fugar o exfiltrar secretos, claves criptográficas, datos, etc. (S) Ladenegacióndeservicios. Es similar a laDoS, impide el acceso a un servicio (dispositivo, sistema, red, aplicación, datos, etc.) total o parcialmente. (T) La alteración. Es la modificación o cambio de algo en cualquier parte firmware, software, hardware, datos, etc. Es diferente borrar o formatear undiscoque sepuede recuperar, que realizar un ‘disk-wipe’ que consiste en borrar el disco de forma irrecuperable (por ejemplo, sobre escribiendo y borrando un númeromuy elevado de veces). (2) STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation privilege): (S) La suplantación de identidad. Viola el servicio de ciberseguridad de la autenticación que permite a un malware pretender ser algo o alguien diferente al que realmente es; es decir, suplanta a algo o alguien conocido y confiable. (T) La alteración de datos. Viola el servicio de ciberseguridad de la integridad. En este caso el malware modifica/cambia algo en algún sitio: datos en discos, red, memoria, etc. Un ejemplo sería utilizar un drone para entregar código malicioso a un dispositivo de computación víctima utilizando la proximidad para acceder a una red inalámbrica no segura. (R) El repudio. Viola el serviciode ciberseguridaddel no-repudio. En este caso el malware o una entidad subordinada afirma que no ha hecho algo o no fue responsable de algo; puede ser honesto o falso; es decir afirma quenoes responsabledeuna acción. Por ejemplo, negar quehaya recibido algoonegar quehaya enviadoalgo, o negar que haya borrado o ejecutado algo, etc. (I) La revelación de información. Viola el servicio de ciberseguridad de la confidencialidad. En este caso el malware o un agente subordinado proporciona información a alguien no autorizado (sin credenciales apropiadas) para que acceda a dicha información (datos, metadatos, secretos, tokens, claves privadas, etc.). Un ejemplo sería un sistema de datos de sensor que accede a todo tipo de datos audio, video, etc., infectado con malware que revela información y después utiliza el repudio para negar la responsabilidad de dicha acción. (D) La denegación de servicios. Viola el servicio de ciberseguridad de la disponibilidad de un recurso que necesita el sistema ciber-atacado por malware para acceder a una función de forma adecuada. Un ejemplo de denegación de servicios es impedir que responda un servicio, impresora, etc. (E) Laelevacióndeprivilegios. Violael serviciodeciberseguridadde laautorización para realizar una acción/operación. El malware consigue tener el permiso necesario para poder hacer algo para lo que no está autorizado hacer. (3) DREAD (Damage potential, Reproducibility, Explotability, Affected users, Discoverability): (D) El daño representa el impacto de un ciberataque malware, es decir el grado de maldad que produce el ciberataque malware. (R) La reproducibilidad significa lo fácil que puede ser repetirlo o reproducirlo dicho ciberataque malware (infección). (E) La explotabilidad representa el cómo de fácil (es decir, cuanto trabajo se necesita) para lanzar dicho ciberataque malware. (A) Los usuarios afectados representan cuantos objetivos/personas-usuarios-víctima serán impactados. (D) La capacidad de descubrimiento representa lo fácil que puede ser descubrir-encontrar el malware ofensivo con sus acciones maliciosas, exploits, vulnerabilidades, etc. que conlleva. DREAD permite valorar, analizar y encontrar la probabilidad de ciber-riesgo en base a las ciber acciones maliciosas descritas. (4) LINDDUN (Linkability, Identifiability, Non repudiation, Detectability, Disclosure of información, content Unawareness, policy and consent Noncompliance este último está correlacionado con GDPRoGeneral Data Protection Regulación). Es adecuadopara accionesmaliciosas contra la privacidad. Algunas capacidades de ciberataque utilizadas por los malware ofensivos se soportan en: mensajería instantánea, SMS, correo electrónico, instalar backdoors, robo de certificados digitales, captura de teclas (keylogger), captura de pantallas, captura de video y audio, saltarse losmecanismos deautenticación mutifactor, robode credenciales, redirigir el navegador Web, inyección http, etc. La superficie de ciberataquemalware de un objetivo (sistema, dispositivo, objeto, aplicación, red, etc.), incluye todos aquellos ciberataques elementales que son los puntos de arranque de ciberataques malware complejos, los ciberataques elementales quepermiten empezar uno más complejo. Un ciberataque elemental que no está en la superficie puede detenerse impidiendo la ejecución de algunos ciberataques de la superficie. La tasa Q entre el número de ciberataques malware en la superficie y el número total de ciberataques malware en un plan de ciberataque puede permitir evaluar el nivel de ciberseguridad del objetivo (sistema, dispositivo, red, BD, etc.). Si Q tiende a uno existen varias formas de componer los ciberataques en los planes de modo que el nivel de ciberseguridadglobal es bajo. Si Q tiende a cero significa que pocos ciberataques de la superficie se detienen y todos los planes se paran lo que implica un nivel de ciberseguridad global elevado. El malware inteligente defensivo es capaz de bloquear cualquier intento (incluso sigiloso) de aplicar las técnicas ofensivas como: ‘process injection’ utilizado por las tácticas ofensivas (evasión de defensas, escalada de privilegios, etc.), ‘powershell’ utilizado por las tácticas ofensivas (ejecución, etc.), ‘credential dumping’ utilizado por las tácticas
RkJQdWJsaXNoZXIy Njg1MjYx