/ ¿Qué es el movimiento lateral?
¿Qué es el movimiento lateral?
Movimiento lateral es un conjunto de técnicas utilizadas por los ciberdelincuentes para acceder a otros dispositivos, aplicaciones o activos en una red después de comprometer un punto final en primer lugar. Los malintencionados utilizan credenciales de inicio de sesión robadas u otros métodos de escalamiento de privilegios, para moverse por la red y gradualmente acceden a los datos confidenciales. Con sus actividades disfrazadas como tráfico de red permitido, los atacantes pueden evitar ser detectados y prolongar sus ataques.
¿Cómo se produce el movimiento lateral?
Un atacante puede realizar movimientos laterales después de comprometer un punto final conectado a una red que carece de controles de acceso adecuados. Podría lograr esto a través del abuso de credenciales, aprovechando una vulnerabilidad en un servidor o aplicación o el malware para crear una puerta trasera y varios métodos más. Muchas de las medidas de seguridad de red convencionales no detectarán actividad maliciosa porque parece provenir de usuarios legítimos.
Veamos más detalladamente cómo funciona el movimiento lateral.
Etapas del movimiento lateral
Un ataque de movimiento lateral se realiza en tres pasos principales:
- Reconocimiento: El atacante explora la red. A medida que va comprendiendo las convenciones de nomenclatura y las jerarquías de red, identifica puertos de firewall abiertos y otras debilidades, el atacante puede formular un plan para adentrarse aún más en la red.
- Infiltración: Mediante el uso de credenciales de inicio de sesión que a menudo se obtienen a través de ataques de phishing u otro método de ingeniería social, el atacante emplea técnicas de volcado de credenciales y escalada de privilegios para obtener acceso a diferentes partes del sistema.
- Acceso: Una vez que el atacante localiza el sistema o los datos objetivo, puede comenzar su ataque en serio, aplicar una carga útil de malware, exfiltrar o destruir datos hacer muchas otras cosas.
¿Qué tipos de ataque utilizan el movimiento lateral?
La mayoría de los tipos de ataques incluyen, o pueden incluir, técnicas de movimiento lateral, incluidos ataques de ransomware y otro malware, phishing, etc. Una vez establecido un punto de apoyo en una red, los atacantes pueden usar esa posición como base para iniciar más ataques.
Utilizando técnicas como el secuestro y el phishing selectivo, los atacantes pueden moverse por la red como si fueran un usuario legítimo sin alertar a las medidas de ciberseguridad convencionales sobre su presencia.
Ejemplos de movimiento lateral en ciberataques
El movimiento lateral no es una técnica, sino un elemento estratégico de un ataque que puede adoptar muchas formas dependiendo de las necesidades del atacante. Las tácticas comunes de ataque de movimiento lateral incluyen:
- Pasar el hash (PTh): En lugar de usar una contraseña de texto sin formato para la autenticación, un atacante introduce un hash de contraseña robada, la misma cadena cifrada almacenada en el autenticador, y se le otorga acceso.
- Pasar el ticket (PtT): Un atacante utiliza tickets robados del protocolo de autenticación predeterminado de Windows, Kerberos, para autenticarse sin necesidad de conocer la contraseña del usuario.
- Explotación de servicios remotos: Una vez dentro de un sistema, un atacante puede aprovecharse de las vulnerabilidades o permisos mal configurados en servicios remotos conectados para obtener acceso a otras partes de la red.
- Phishing selectivo interno: Un atacante que ya tiene acceso a la cuenta de un usuario legítimo puede usar ataques de phishing selectivo para obtener credenciales compartidas, códigos de acceso y datos similares. Las víctimas que creen saber con quién están hablando tienen menos probabilidades de sospechar de una trampa.
- Secuestro de SSH: Los atacantes pueden secuestrar conexiones hechas a través de Secure Shell (SSH), un protocolo de acceso remoto común en macOS y Linux, para omitir la autenticación y obtener acceso a otro sistema a través del túnel SSH cifrado.
- Recursos compartidos del administrador de Windows: La mayoría de los sistemas Windows habilitan los recursos compartidos del administrador de manera predeterminada. Si un atacante obtiene acceso administrativo, los recursos compartidos del administrador pueden permitirle moverse lateralmente rápidamente y aprovecharse de sus permisos para administrar y acceder a otros hosts.
¿Cuáles son los desafíos de seguridad del movimiento lateral?
En una topología de red que permite el movimiento lateral sin restricciones, un ataque puede moverse rápidamente de un host a otro, a menudo sin activar ninguna alarma. Algunos programas maliciosos hacen esto tan rápido que los equipos de seguridad no los pueden detener, especialmente si confía en medidas de seguridad que solo alertan una vez se ha producido el hecho.
El auge del trabajo híbrido y a distancia ha generado sus propios problemas. Los usuarios se conectan desde todo tipo de puntos finales, que pueden tener controles de seguridad únicos. Cada uno de estos puede representar una posible vulnerabilidad, otro vector de ataque disponible para los atacantes.
Sin embargo, lo más peligroso es el riesgo de las amenazas persistentes y avanzadas (APT). Un atacante experto puede persistir en su red sin ser visto durante meses, accediendo a información privilegiada y exfiltrando datos.
Pasos para prevenir y detectar el movimiento lateral
La lucha contra el movimiento lateral es una tarea doble.
Evite el movimiento lateral en tiempo real
Por un lado, es necesario detener el movimiento lateral antes de que ocurra. Para hacerlo:
- Utilice una seguridad eficaz y moderna para puntos finales. El trabajo híbrido está aquí para quedarse, y para mantener la protección y productividad de los trabajadores, necesita soluciones de movilidad y punto final que permitan el control de acceso zero trust, la detección y la respuesta de amenazas de extremo a extremo en una amplia variedad de dispositivos.
- Proteja los objetivos de alto valor. La vulneración de una cuenta con privilegios administrativos facilita a un atacante el acceso a sus datos más valiosos y confidenciales. Proteja estas cuentas con los niveles de seguridad más altos, y reserve su uso solo para las tareas que requieran los mayores privilegios.
- Implemente la microsegmentación. La microsegmentación crea zonas seguras que le permiten aislar las cargas de trabajo entre sí y protegerlas individualmente. Los segmentos granulares pueden adaptarse a las necesidades de diferentes tipos de tráfico, creando controles que limitan los flujos de red y de aplicaciones entre las cargas de trabajo a aquellos que están explícitamente permitidos.
- Mantenga un modelo zero trust que de prioridad a la seguridad. Todos en su organización deben asumir la responsabilidad de la seguridad, no solo TI o un pequeño equipo de seguridad. Garantizar que todo el personal comprenda y se adhiera a los protocolos de seguridad comunes, y adoptar un modelo de seguridad zero trust, reducirá su riesgo de ciberataques más que cualquier otra medida.
Detecte el movimiento lateral
Por otro lado, cuando los atacantes logran infiltrarse, debe poder detenerlos. Para eso, necesita:
- Supervisar la actividad de inicio de sesión. Mantenerse muy atento al tráfico de autenticación puede permitirle detectar vulneraciones directas y robo de credenciales antes de que los atacantes puedan causar daños.
- Ejecutar análisis de comportamiento. El análisis que utiliza el aprendizaje automático puede establecer una base de referencia del comportamiento normal del usuario y detectar desviaciones que podrían significar un ciberataque.
- Usar la tecnología del engaño deliberado del atacante. Los activos señuelo realistas implementados en su red actúan como cebos para los ciberdelincuentes. Los atacantes son incapaces de diferenciar lo falso de lo real, y en el momento en que interactúan con un señuelo activan una alarma silenciosa.
- Emplear la búsqueda de amenazas: Tener una actitud proactiva para identificar amenazas desconocidas hasta ese momento o repetidas en su red, la búsqueda experta de amenazas a través de un servicio administrado, para la mayoría de las organizaciones constituye una poderosa defensa contra los ataques sigilosos y avanzados.
Prevenga y controle el movimiento lateral con zero trust
Aprovecharse de la confianza, no solo del tipo conferido por la autenticación, sino también de la intrínseca a la naturaleza humana, es uno de los trucos más antiguos que conocen los atacantes. Al día de hoy, sigue siendo una de las maneras más efectivas en las que pueden posicionarse para moverse lateralmente en su entorno. Para negarles esa oportunidad, hay que eliminar la confianza de la ecuación.
Una arquitectura zero trust aplica políticas de acceso basadas en el contexto, en el que se incluyen el rol y la ubicación del usuario, su dispositivo y los datos que está solicitando, para bloquear el acceso inadecuado y el movimiento lateral en todo su entorno.
El modelo zero trust requiere visibilidad y control sobre los usuarios y el tráfico de su entorno, incluido el cifrado; supervisión y verificación del tráfico entre las partes del entorno; y métodos sólidos de autenticación multifactor (MFA) que vayan más allá de las contraseñas.
Lo más importante es que, en una arquitectura zero trust, la ubicación de un recurso en la red ya no es el factor principal de su postura de seguridad. En lugar de tener una segmentación de red rígida, sus datos, flujos de trabajo, servicios, etc., están protegidos por microsegmentación definida por software, lo que le permite mantenerlos seguros en cualquier lugar.
Prevenga el movimiento lateral con zscaler
El problema son las soluciones de seguridad de red heredadas, como los firewalls tradicionales y las VPN. Crean una superficie de ataque masiva que los atacantes pueden ver y explotar fácilmente para infiltrarse en su entorno. Peor aún, ponen a los usuarios directamente en su red, dando a los atacantes un fácil acceso a los datos confidenciales.
Es por eso que creamos Zscaler Private Access™. Como parte de la plataforma Security Service Edge (SSE) más implementada y mejor calificada del mundo, ofrece:
- Seguridad sin igual, que va más allá de las VPN y firewalls heredados: los usuarios se conectan directamente a las aplicaciones, no a la red, lo que minimiza la superficie de ataque y elimina el movimiento lateral.
- El fin del peligro para las aplicaciones privadas: la primera protección de aplicaciones de su clase, con prevención en línea, engaño y aislamiento de amenazas, que minimiza el riesgo de que los usuarios sean infectados.
- Productividad superior para la fuerza de trabajo híbrida de hoy: el acceso ultrarrápido a las aplicaciones privadas se extiende sin problemas a los usuarios remotos, la sede central, las sucursales y los socios externos.
- Plataforma ZTNA unificada para usuarios, cargas de trabajo y dispositivos de TO/IoT: Conéctese de manera segura a servicios, dispositivos TO/IoT y aplicaciones privadas con la plataforma ZTNA más completa del sector.
Zscaler Private Access aplica los principios de privilegios mínimos para brindar a los usuarios una conectividad directa y segura a las aplicaciones privadas, al tiempo que elimina el acceso no autorizado y el movimiento lateral. Como servicio nativo en la nube, ZPA puede implementarse en horas para sustituir a las VPN y a las herramientas de acceso remoto heredadas por una plataforma global de confianza cero.