# ICS Cyber Kill Chain

Las características operativas y configuraciones únicas de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) los convierten en un objetivo distintivo dentro del panorama de la ciberseguridad. Estos sistemas son fundamentales para la infraestructura de diversas industrias, como la generación de energía, el tratamiento de agua y la manufactura. Dado el carácter especializado de estos entornos, un ataque exitoso requiere no solo un amplio conocimiento sobre la industria objetivo, sino también una comprensión del despliegue específico del ICS.

## <mark style="color:yellow;">La Cadena de Ataque Cibernético en ICS</mark>

Para analizar y entender efectivamente los vectores de ataque específicos para los ICS, el Instituto SANS ha adaptado el modelo tradicional de la Cadena de Ataque Cibernético, originalmente desarrollado por Lockheed Martin, para ajustarse mejor a las complejidades de los sistemas de control industrial. Esta adaptación aborda los aspectos únicos de los entornos ICS, enfatizando la necesidad de que los atacantes naveguen entre diversos sensores, mecanismos de control y dispositivos de automatización sin causar disturbios detectables durante el ataque.

### <mark style="color:yellow;">**Fase 1: Compromiso Inicial y Establecimiento**</mark>

En la primera fase de la Cadena de Ataque Cibernético en ICS, el atacante se centra en ganar acceso inicial a la red. Esto podría involucrar la explotación de vulnerabilidades en los dispositivos perimetrales de la red, como cortafuegos o enrutadores, o la utilización de técnicas de ingeniería social para obtener credenciales. La penetración exitosa y el establecimiento de una posición dentro de la red marcan la finalización de esta fase. El atacante entonces procede a recopilar información y prepararse para una infiltración más profunda.

### <mark style="color:yellow;">**Fase 2: Expansión de Acceso y Movimiento Lateral**</mark>

Durante la segunda fase, el atacante utiliza el conocimiento adquirido en la fase inicial para penetrar más profundamente en el sistema. Esto implica comprender la topología de la red, identificar los sistemas de control clave y escalar privilegios. Técnicas como el movimiento lateral, donde los atacantes se mueven de sistemas menos críticos a sistemas operativos más esenciales, son comunes. Esta fase es crítica ya que prepara el escenario para ejecutar la interrupción operativa o la manipulación.

<figure><img src="https://3864891734-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fq3aycJ7GhunUy6dL78C4%2Fuploads%2F75uRllUryncRMEKoAOdZ%2Fimage.png?alt=media&#x26;token=cc445e0c-a280-49c8-928c-e331809403d4" alt=""><figcaption></figcaption></figure>

## <mark style="color:yellow;">Visualización de la Cadena de Ataque Cibernético en ICS</mark>

El informe de SANS proporciona diagramas detallados que representan visualmente estas fases. Estos diagramas son útiles para que los profesionales de seguridad conceptualicen:

* <mark style="color:yellow;">**Los puntos de acceso iniciales**</mark><mark style="color:yellow;">:</mark> Cómo los atacantes entran en el sistema.
* <mark style="color:yellow;">**Las tácticas de expansión**</mark><mark style="color:yellow;">:</mark> Métodos utilizados para moverse a través de la red y ganar control sobre sistemas críticos.
* <mark style="color:yellow;">**Los objetivos finales**</mark><mark style="color:yellow;">:</mark> Componentes del ICS que, si se comprometen, podrían llevar a interrupciones operativas significativas.

## <mark style="color:yellow;">**Puntos Clave en la Cadena de Ataque en ICS:**</mark>

1. <mark style="color:yellow;">**Reconocimiento**</mark><mark style="color:yellow;">:</mark> Identificar posibles puntos de entrada y sistemas valiosos.
2. <mark style="color:yellow;">**Arma**</mark><mark style="color:yellow;">:</mark> Creación de herramientas o métodos adaptados al entorno ICS objetivo.
3. <mark style="color:yellow;">**Entrega**</mark><mark style="color:yellow;">:</mark> Ejecución del vector de ataque para desplegar el arma.
4. <mark style="color:yellow;">**Explotación**</mark><mark style="color:yellow;">:</mark> Aprovechamiento de vulnerabilidades para establecer control.
5. <mark style="color:yellow;">**Instalación**</mark><mark style="color:yellow;">:</mark> Instalación de malware o herramientas para mantener persistencia.
6. <mark style="color:yellow;">**Comando y Control (C2)**</mark><mark style="color:yellow;">:</mark> Establecimiento de un canal para controlar los sistemas comprometidos remotamente.
7. <mark style="color:yellow;">**Acciones sobre Objetivos**</mark><mark style="color:yellow;">:</mark> Ejecución de las acciones disruptivas intencionadas o la exfiltración de datos.

## <mark style="color:yellow;">Importancia de Entender la Cadena de Ataque Cibernético en ICS</mark>

Entender esta cadena de ataque adaptada es crucial para los defensores en entornos industriales para desarrollar estrategias de mitigación y respuesta efectivas. Al conocer cada etapa del camino de un atacante, los equipos de seguridad pueden implementar mecanismos defensivos en capas, realizar auditorías regulares del sistema y participar en un monitoreo continuo para detectar anomalías que podrían indicar un ataque en curso.

La Cadena de Ataque Cibernético en ICS no solo ayuda a comprender cómo evolucionan las amenazas, sino que también juega un papel vital en la capacitación y las simulaciones, preparando a los equipos de seguridad para defender mejor la infraestructura crítica contra amenazas cibernéticas sofisticadas.