CIBERSEGURIDAD 50 como vectores de ciberataque la red externa, la conexión de red a socio o entidad confiable, red interna. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda transmitir mensajes a un rango dirigido de direcciones de red del perímetro para denegar servicio; los ciberefectos identificados son la interrupción, degradación. Se identifican como vectores de ciberataque la red externa, la conexión de red a socio o entidad confiable. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda descargar información sensible a dispositivos o sistemas de información utilizados externamente y reintroducidos dentro de la organización; los ciberefectos identificados son la interceptación, exfiltración. Se identifica como vector de ciberataque la red interna. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener información por interceptación localizada externamente de tráfico de red inalámbrico (por ejemplo, OTA, 5G, satelital); el ciber-efecto identificado es la interceptación. Se identifica como vector de ciberataque la red interna. El DAIM/MIADbloqueará todo tipo de intento de obtener acceso no autorizado; el ciberefecto identificado es el uso no autorizado. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios, las acciones autorizadas de usuarios sin privilegios, la ingeniería social. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener información/ datos sensibles de sistemas de información accesibles públicamente; los ciberefectos identificados son la interceptación, exfiltración. Se identifica como vector de ciberataque la red externa. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento que cualquier entidad ofensiva pueda obtener información/datos por robo oportunista o rebuscar/husmear en basureros/papeleras (cibernéticas y/o convencionales donde se incluyen componentes y sistemas de información, memoria, discos duros, en dispositivos-equipos o tirados a un basurero convencional sin trituradora de papeles y borrado profundo tipo ‘wipe’); los ciberefectos identificados son la interceptación, exfiltración. Se identifican como vectores de ciberataque la cadena de suministro, el entorno de mantenimiento. (11)Mantenimiento. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda ofuscar las acciones perversas (de cara a la evasión de defensas); los ciberefectos identificados son la modificación, corrupción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas deusuarios conprivilegios. Desde una perspectiva de conjuntos de técnicas/tácticas el DAIM/MIAD bloqueará toda clase de intento: de ejecución (de código controladopor la entidad ofensiva tanto en un sistema local como remoto), de acceso a credenciales (para acceder o controlar las credenciales de un sistema, dominio o servicio con objeto de utilizarlas dentro de un entorno a ciberatacar), de comunicaciones C&C (para que las entidades ofensivas puedan comunicarse con sus sistemas bajo su control dentro o fuera de una red objetivo), demovimiento lateral (para que accedan y controlen sistemas remotos enuna rede incluso ejecuten herramientas ofensivas en sistemas remotos), de exfiltración (para coger ficheros e información de una red objetivo), de recogida (para identificar y recoger información como ficheros sensibles de una red objetivo antes de la exfiltración), de persistencia (conjunto de accesos, acciones o cambios de configuración en un sistema para dar presenciapersistente enel sistema a la entidad ofensiva), de escalada de privilegios (para obtener nivelesmayores depermisos y autorizaciones enun dispositivo, red o sistema), de evasión de posibles defensas (para evadir la detección, trazabilidad o evitar antimalware, etc.), de descubrimiento (para ganar conocimiento sobre el sistema, red interna, etc.), etc. Desde una perspectiva de operaciones el DAIM/MIAD bloqueará todo tipo de intento: de usomalicioso (deWinRM (Windows Remote Management) y saltarse el hash), de acciones maliciosas (de escaneo de servicios de red y query-registry), de (captura de entrada y credential dumping), de (borrado malicioso de ficheros y binary-padding), de (inyección dll y Web Shell), de (acciones maliciosas vía bootkit), de (codificación de datos maliciosa y de empleomalicioso de puertos no utilizados comúnmente), de (cifrar datos maliciosamente y ‘scheduled transfer’), de (captura maliciosa de audio, video, contenido depantalla, teclas pulsadas/keylogger, ‘clipboard data’), de uso malicioso de (WMI (Windows Management Instrumentation), PowerShell), de poder entregarmalwareRAT (Remote Access Trojan, como Nanocore, Netwire, AsyncRAT, etc.) capaz de tomar el control del dispositivo de la víctima para realizar acciones ofensivas (como robar datos, modificar información, etc.), de ejecutar en el dispositivode la víctimaunfichero.ZIP malicioso transportado, por ejemplo, en un correo que contiene una imagen ISO con un cargador en forma de: un JavaScript, un fichero batch deWindows o de un Script de Visual Basic (que se aloja en un servidor Windows basado en Azure-Cloud o en una instancia AWS (AmazonWeb-Services)-EC2 cloud), etc. CONSIDERACIONES FINALES El malware defensivo o DAIM/MIAD son tres cosas: 1. Una ciberarma defensiva y de protección (con autonomía) contra todo tipo de ciberataques ofensivos. 2. Una ciberherramienta sofisticada de ciberdefensa/protección contra todo tipo de ciberataques ofensivos. 3. Una ciberamenaza de neutralización contra los ciberataques ofensivos. La
RkJQdWJsaXNoZXIy Njg1MjYx