Los CISO se enfrentan al desafío de que sus entornos de nivel empresarial sean vulnerables al movimiento lateral en sus redes. Carolyn Crandall, directora de seguridad y CMO de Attivo Networks, dice que la mayoría de los CISO están familiarizados con el papel que juega el movimiento lateral en los ataques, pero las organizaciones deben respaldar este conocimiento con acciones.
Un ladrón irrumpiendo en su casa puede ser una experiencia menor o devastadora. Una cosa es cuando el delincuente se va después de agarrar el primer artículo que ve, pero es una historia completamente diferente cuando tiene tiempo para trazar un mapa de dónde están tus objetos de valor y planificar las mejores formas de robarlos. Peor aún es cuando el ladrón se asegura la capacidad de regresar repetidamente y robarte una y otra vez. Todo esto puede ocurrir incluso con puertas y ventanas cerradas y sistemas de seguridad perimetrales instalados.
Un escenario similar suele surgir en la ciberseguridad. Cuando los atacantes obtienen acceso a la red de una organización, buscan oportunidades para moverse lateralmente por el entorno y escalar sus privilegios. Utilizan esta información para obtener el control de los recursos, cambiar los permisos y la configuración de seguridad para un mayor acceso y cubrir sus huellas. Esta actividad puede ser extremadamente difícil de detectar, ya que estos atacantes se harán pasar por usuarios reales y aparecerán como actividades normales.
La mayoría de los CISO están familiarizados con el papel que juega el movimiento lateral en los ataques, pero las organizaciones no respaldan este conocimiento con acciones. La mayoría todavía depende en gran medida de las defensas perimetrales, la detección de anomalías de comportamiento y la gestión de registros, que proporcionan una visibilidad limitada y volúmenes de alerta inmanejables. Las amenazas avanzadas actuales aprovechan activamente el movimiento lateral, que se ha convertido en un talón de Aquiles para muchas organizaciones. A medida que este problema se agrava, los CISO comienzan a tomar nota cada vez más.
Pensando lateralmente
Los autores del informe de eficacia de seguridad de Mandiant del año pasado encontraron que el 54% de las «técnicas y tácticas utilizadas para ejecutar las pruebas de movimiento lateral se perdieron». También encontraron que el 96% de las conductas de movimiento lateral no tenían una alerta correspondiente en el SIEM, lo que significa que los defensores se quedaron ciegos ante un ataque. Estas estadísticas son preocupantes, especialmente porque existen soluciones para evitar el movimiento lateral.
Desde el punto final, las defensas de movimiento lateral pueden detener a un actor de amenazas en una etapa anterior del ciclo de ataque y reducir el riesgo de una infracción más significativa. Un enfoque se basa en la «microsegmentación», que divide una red en partes más pequeñas para ralentizar o detener el progreso del atacante. Otros trabajan sobre una base de inteligencia identificando signos de ataque. Los intrusos a menudo revelan sus intenciones, lo que ofrece una oportunidad adicional para detenerlos mientras realizan reconocimientos o prueban la red en busca de vulnerabilidades.
Los defensores también pueden usar tecnología de engaño y ocultación para engañar a los actores de amenazas para que revelen su presencia o tácticas. Pueden colocar credenciales de Active Directory (AD) falsas u otro cebo en la red o dentro de los puntos finales que parecen activos de producción reales y sirven como objetivos tentadores para los atacantes. En realidad, son cebos o migas de pan que conducen a trampas que revelan la presencia del atacante y permiten a los equipos de seguridad desterrarlo del entorno. Las innovaciones en la tecnología de ocultación pueden ocultar datos reales y objetos AD, evitando que los atacantes encuentren o accedan a los objetivos que buscan.
Una vez que los defensores identifican un ataque, deben intentar impedir que los atacantes recopilen inteligencia sobre objetivos como credenciales, hosts activos, servicios abiertos y cuentas AD. Los defensores también pueden buscar vulnerabilidades, exposiciones y configuraciones erróneas que crean rutas de ataque y las corrigen para que los atacantes no puedan lograr fácilmente el movimiento lateral y la escalada de privilegios. Aquellos que buscan una Defensa Activa también pueden usar la fuerza del atacante contra ellos interceptando sus consultas de datos y redirigiéndolos a señuelos mientras intentan moverse lateralmente.
Las lecciones del movimiento lateral
Desafortunadamente, muchos entornos de producción a nivel empresarial siguen siendo vulnerables al movimiento lateral, lo que representa un desafío para los CISO. Cuando evalúan su pila de soluciones de seguridad empresarial, los CISO deben asegurarse de que pueden detectar de manera eficiente actividades como el descubrimiento, la escalada de privilegios y el movimiento lateral. De lo contrario, dejarán a su organización vulnerable a un tiempo de permanencia más prolongado del atacante, lo que posteriormente amplificará la magnitud del compromiso.
Incumbe al personal de seguridad proteger a sus empleadores respondiendo rápidamente a las últimas amenazas e interrumpiendo las rutas de ataque de un actor de amenazas. Tampoco es suficiente simplemente instalar sistemas de detección de movimiento lateral. Idealmente, los gobiernos y los reguladores deberían presionar a las organizaciones para que establezcan protecciones de derechos de identidad de credenciales y movimientos laterales y un mejor intercambio de inteligencia sobre amenazas. Estas defensas son cada vez más necesarias y deberían ser parte de facto de la arquitectura de seguridad.
Movimiento lateral y escalada de privilegios en las noticias
El movimiento lateral no es un problema de nicho: está presente en aproximadamente el 60% de los ataques y más del 80% de los ataques utilizaron acceso privilegiado. En el ataque SolarWinds, los actores de amenazas mantuvieron muy baja su huella de malware mientras robaban silenciosamente a través de las redes, utilizando credenciales para realizar movimientos laterales y establecer un acceso remoto legítimo. Si se hubieran implementado controles de seguridad más eficientes para detectar movimientos laterales y escalada de privilegios, los atacantes no habrían tenido tanto tiempo para realizar su ataque y la brecha de SolarWinds podría haber sido menos generalizada y dañina.
El movimiento lateral ha aparecido en muchos otros incidentes de alto perfil, incluidos los ataques NotPetya de 2017, en los que una pieza de malware se propagó a una amplia gama de sistemas remotos en la red. La transferencia lateral de herramientas también se produjo durante el brote de WannaCry de 2017. Un criptoworm ransomware intentó copiarse a sí mismo en computadoras remotas utilizando una vulnerabilidad en la implementación del bloque de mensajes del servidor (SMB) en los sistemas Windows. Estas señales de advertencia destacan la urgente necesidad de detectar y descarrilar las actividades de ataque de movimiento lateral.
Aprendizajes de bloqueo
La gravedad del incidente de SolarWinds ha elevado significativamente la conciencia pública sobre los ataques avanzados y su influencia disruptiva en las operaciones comerciales. Las organizaciones deberían movilizarse hoy para protegerse a sí mismas y a sus entornos de AD con una detección de movimiento lateral eficiente. En un momento en que un correo electrónico inteligente de phishing engaña a un empleado para que entregue una contraseña, es hora de cambiar las inversiones para que la detección de amenazas dentro de la red sea parte de todos los programas de seguridad.
Los ataques avanzados han demostrado que el campo de batalla se ha movido dentro de la red. Para que las organizaciones brinden a los equipos de seguridad las herramientas que necesitan para combatir a estos adversarios, deben asegurarse de haber implementado los controles adecuados para la visibilidad de la ruta de ataque, el movimiento lateral y la detección de escalada de privilegios.
Haga clic a continuación para compartir este artículo
