SG40 - Seguridad

CIBERSEGURIDAD 47 ción; se asocia con CWE-20; se asocia con una severidad global CVSS3/CVSS2 de valor 9.4 (elevada). Para reducir el impacto de vulnerabilidades latentes nunca ejecutar software con privilegios de administrador, siempre, se debe ser un usuario sin privilegios, es decir, con los mínimos derechos de acceso. MODELIZACIÓN DE LAS CIBERCONDUCTAS INACTIVADAS EN LOS CIBERATAQUES OFENSIVOS POR PARTE DEL DAIM/MIAD Los ciberataques en general y los del malware ofensivo en particular se pueden describir de forma multidimensional con IA, de muchísimas formas todas ellas integradas en las ciberconductas de los ciberataques ofensivos en general. Para ello exploremos los puntos en común de los diferentes modelos, bases de conocimiento, árboles multinivel de ciberataques, etc., públicos y privados más relevantes: Los ciberataques ofensivos en general (que suelen incluir malware ofensivo) pueden verse como una secuencia-cadena en un espacio n-dimensional de acciones, técnicas, procedimientos, tácticas, estrategias, contenidos de playbooks, etc., de acuerdo a un plan dinámicamente cambiante. Las principales fases-pautas-tácticas de acción y explotación identificables de forma visible o invisible en todo ciberataque en general que DAIM bloqueará, inactivará, neutralizará, etc., todo tipo de intentos maliciosos son los siguientes: (1) Acceso-compromiso inicial - Reconocimiento global e interno. En el acceso inicial, los ciberatacantes o malware ofensivo utilizan vectores para ganar-establecer una posición inicial dentro de un objetivo (red, sistema, dispositivo, etc.). En el reconocimiento, los ciberatacantes o malware ofensivos tratan de recoger la mayor cantidad de información (sobre los objetivos a ciberatacar sin el conocimiento de la víctima), con esa información investigan, identifican, seleccionan, etc. mejor sus operaciones. Así mismo, tratan de recoger datos e información de inteligencia antes del ciberataque. Esta información puede recogerse de Internet en RRSS, DarkWeb, foros, chats, motores de búsquedas Web de información (como Google, Yahoo, etc.) y motores de búsquedas de dispositivos como Shodan, etc. El DAIM está diseñado para neutralizar/bloquear todo tipo de intentos maliciosos de captura de dicha información y en caso de que cuente con alguna información de corromper dicha información para bloquear dicha táctica. Así mismo, el DAIMbloqueará todo tipo de intentos maliciosos de escaneo y reconocimiento de la red perimetral así como de sniffing de redde las redes expuestas, de redes externas (por ejemplo, ISPs/Internet Service Providers, servidores proxy de anonimización VPN) a las que están conectadas las redes de la organización a ciberatacar, así mismo bloquea cualquier tipo de análisis de tráfico de red, así mismo bloquea cualquier intento de recoger informaciónutilizandodescubrimiento de fuente abierta de informaciónde la organización y reconocimientos internos dirigidos a malware dirigido. El DAIM está diseñado para neutralizar y bloquear todo tipo de intento de identificar y seleccionar objetivos/ víctimas utilizando reconocimiento activo y pasivo. El DAIMestá diseñado para neutralizar y bloquear todo tipo de intentos maliciosos de ‘drive-bycompromise’, ‘explotación de servicios remotos’, ‘cuentas válidas: cuentas locales’, ‘replicación a través de medios removibles’, ‘spear-phishing attachment-link’, ‘compromiso de la cadena de suministro’, ‘dispositivo accesible por Internet’, ‘compromiso del historial de datos’, etc. El DAIM está diseñado para neutralizar y bloquear todo tipo de intentos de explotar todo tipo de vulnerabilidades (en todo lugar, incluso en el ‘network-edge’), por ejemplo, la vulnerabilidad CVE-2017-8759. El DAIM bloqueará cualquier tipo de intentos maliciosos de actuación con RDP (Remote Desktop Protocol). (2) Ejecución. Permite al ciberatacante o malware ofensivo la ejecución de un código malicioso en el objetivo (sistema local o remoto, dispositivo, etc.); es decir, establece el modo en que el ciberatacante /malware se ejecuta en el objetivo-víctima. Esta táctica se suele utilizar en combinación con la de ‘acceso inicial’ como medio de ejecutar código una vez obtenido el acceso y el movimiento lateral permite expandir el acceso a sistemas remotos de la red. El DAIM bloqueará y neutralizará cualquier tipo de intentos maliciosos de uso de ‘WMI (Windows Management Instrumentation)’ (permite extraer información sobre el sistema operativo o software anti-virus instalado. Lo utilizan los malware fileless), ‘scripting’, ‘Command and Scripting Interpreter: PowerShell’ (lo utilizan los malware fileless la línea de comando PowerShell), ‘CLI-Command-LineInterface’ (el DAIM bloqueará la ejecuciónmaliciosa de módulos con el interfaz de línea de comandos ‘cmd.exe’, así mismo neutralizará la invocación de ‘cmd.exe’ para establecer un backdoor creando un TCP-reverse-shell), ‘scheduled task/ job: scheduled task’, ‘ejecución a través de API (Application Programming Interface) nativa o no’ (por ejemplo, DAIM bloqueará todo tipo de intentos de lanzamiento y ejecución de procesos llamando a la función API-Windows ‘CreateProcessA’), ‘interfaz de usuario gráfico’, ‘interfaz de línea de comandos’, ‘cargas útiles maliciosas Shellcode como: ejecutar un Shell, añadir un usuario administrador, descargar e instalar un rootkit, conectarse con el servidor controlado por el ciberatacante y esperar comandos, etc.’. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘ejecución del usuario: link malicioso y fichero malicioso’, ‘cambio del modo de operación’, ‘Command and Scripting Interpreter: Visual Basic’, ‘Command and Scripting Interpreter: Windows Command Shell’, etc. El DAIM blo-

RkJQdWJsaXNoZXIy Njg1MjYx