¿Qué es el movimiento lateral?

¿Cómo se produce el movimiento lateral?

Un autor de amenazas puede moverse lateralmente después de comprometer un punto final conectado a una red que carece de controles de acceso adecuados. Puede lograr esto a través del abuso de credenciales, explotando una vulnerabilidad en un servidor o aplicación, aprovechando el malware para crear una puerta trasera y con varios otros métodos. Muchas medidas de seguridad de red convencionales no detectarán actividad maliciosa porque parece provenir de usuarios legítimos.

Veamos más de cerca cómo se desarrolla el movimiento lateral.

Etapas del movimiento lateral

Un ataque de movimiento lateral se produce principalmente en tres pasos:

1. Reconocimiento: el autor de amenazas explora la red. A medida que desarrolla la comprensión de las convenciones de nomenclatura y las jerarquías de la red, e identifica los puertos de cortafuegos abiertos y otras debilidades, el ciberdelincuente puede formular un plan para profundizar en la red.
2. Infiltración: utilizando credenciales de inicio de sesión que a menudo se obtienen a través de ataques de phishing u otra ingeniería social, el ciberdelincuente emplea técnicas de volcado de credenciales y escalada de privilegios para obtener acceso a diferentes partes del sistema.
3. Acceso: una vez que el actor localiza el sistema o los datos de destino, puede comenzar su ataque en serio, entregando una carga útil de malware, exfiltrando o destruyendo datos, u otros posibles fines.

¿Qué tipos de ataques utilizan el movimiento lateral?

La mayoría de los tipos de ataques incluyen, o pueden incluir, técnicas de movimiento lateral, incluidos ataques de ransomware y otro malware, phishing y otros. Una vez que han establecido un punto de apoyo en una red, los atacantes pueden usar esa posición como base desde la cual realizar más ataques.

Mediante el uso de técnicas como el secuestro y el spear phishing, los atacantes pueden moverse por la red como si fueran usuarios legítimos sin alertar a las medidas de ciberseguridad convencionales sobre su presencia.

Ejemplos de movimiento lateral en ciberataques

El movimiento lateral no es una técnica, sino un elemento estratégico de un ataque que puede tomar muchas formas en función de las necesidades del atacante. Las tácticas comunes de ataque de movimiento lateral incluyen:

• Pasar el hash (PtH): en lugar de usar una contraseña de texto sin formato para la autenticación, un atacante introduce un hash de contraseña robado, la misma cadena cifrada almacenada en el autenticador, y se le otorga acceso.
• Pasar el ticket (PtT): un atacante utiliza tickets robados del protocolo de autenticación predeterminado de Windows, Kerberos, para autenticarse sin necesidad de conocer la contraseña del usuario.
• Explotación de servicios remotos: una vez dentro de un sistema, un atacante puede aprovechar las vulnerabilidades o los permisos mal configurados en los servicios remotos conectados para obtener acceso a otras partes de la red.
• Spear phishing interno: un atacante que ya tiene acceso a la cuenta de un usuario legítimo puede usar ataques de spear phishing para obtener credenciales compartidas, códigos de acceso y similares. Los objetivos que creen que saben con quién están hablando tienen menos probabilidades de sospechar un juego sucio.
• Secuestro de SSH: los atacantes pueden secuestrar las conexiones realizadas a través de Secure Shell (SSH), un protocolo de acceso remoto común en macOS y Linux, para eludir la autenticación y obtener acceso a otro sistema a través del túnel SSH cifrado.
• Recursos compartidos de administración de Windows: la mayoría de los sistemas de Windows habilitan los recursos compartidos de administración de forma predeterminada. Si un autor de amenazas obtiene acceso administrativo, los recursos compartidos de administración pueden permitirle moverse rápidamente lateralmente al explotar sus permisos para administrar y acceder a otros hosts.

¿Cuáles son los desafíos de seguridad del movimiento lateral?

En una topología de red que permite el movimiento lateral sin restricciones, un ataque puede moverse rápidamente de un host a otro, a menudo sin disparar ninguna alarma. Algunos malware lo hacen demasiado rápido como para que cualquier equipo de seguridad lo contenga, especialmente si confía en medidas de seguridad que sólo le alertan una vez se ha producido el hecho.

El auge del trabajo híbrido y remoto ha generado sus propios problemas. Los usuarios se conectan desde todo tipo de puntos finales, que pueden tener controles de seguridad únicos. Cada uno de estos puede representar una vulnerabilidad potencial, por lo que son otro vector de ataque que pueden usar los atacantes.

Sin embargo, lo más peligroso es el riesgo de las amenazas persistentes avanzadas (APT). Un atacante habilidoso puede permanecer en su red sin que le vean durante meses y acceder a información privilegiada y exfiltrar datos.

Pasos para prevenir y detectar el movimiento lateral

Para luchar contra el movimiento lateral hay que hacer dos cosas.

Prevenir el movimiento lateral en tiempo real

Por un lado, debe detener el movimiento lateral antes de que suceda. Para ello:

• Utilice una seguridad de punto final moderna y eficaz. El trabajo híbrido ha llegado para quedarse, y para garantizar la protección y la productividad de los trabajadores, necesita soluciones móviles y de punto final que permitan control de acceso de confianza cero, detección de amenazas y respuestas de extremo a extremo en una amplia variedad de dispositivos.
• Proteja objetivos de alto valor. Comprometer una cuenta con privilegios administrativos le da a un atacante acceso a sus datos más valiosos y confidenciales. Proteja estas cuentas con los más altos niveles de seguridad y reserve su uso exclusivamente para las tareas que requieren los mayores privilegios.
• Implemente la microsegmentación. La microsegmentación crea zonas seguras que le permiten aislar las cargas de trabajo entre sí y protegerlas individualmente. Los segmentos granulares se pueden adaptar a las necesidades de diferentes tráficos, creando controles que limitan los flujos de red y aplicaciones entre cargas de trabajo a aquellos que están explícitamente permitidos.
• Mantenga un enfoque de confianza cero que priorice la seguridad. Todos en su organización, no sólo TI o un pequeño equipo de seguridad, deben asumir la responsabilidad de la seguridad. Al asegurarse de que todo el personal comprende y se adhiere a los protocolos de seguridad comunes, y al adoptar un enfoque de seguridad de confianza cero, se reducirá principalmente el riesgo de ataques cibernéticos.

Detectar el movimiento lateral

Por otro lado, cuando los atacantes logran pasar, debe poder detenerlos. Para eso, necesita:

• Supervisar la actividad de inicio de sesión. Vigilar de cerca el tráfico de autenticación puede permitirle detectar amenazas directas y robos de credenciales antes de que los atacantes puedan causar daños.
• Ejecutar análisis de comportamiento. El análisis impulsado por el aprendizaje automático puede establecer una línea de base del comportamiento normal del usuario y marcar las desviaciones que podrían indicar un ciberataque.
• Usar tecnología de engaño. Los activos de señuelo realistas desplegados en su red actúan como señuelos para los ciberdelincuentes. Al ser incapaces de diferenciar lo falso de lo real, los atacantes emiten una alarma silenciosa en el momento en que interactúan con un señuelo.
• Emplear la búsqueda de amenazas: al adoptar un enfoque proactivo para identificar amenazas previamente desconocidas o en curso en su red, la búsqueda experta de amenazas (a través de un servicio administrado, para la mayoría de las organizaciones) es una potente defensa frente a ataques sigilosos avanzados.

Prevenga y controle el movimiento lateral con la confianza cero

Aprovecharse de la confianza, no sólo de la que confiere la autenticación, sino también de la que confiere la naturaleza humana, es uno de los trucos más antiguos que conocen los atacantes. Hoy día sigue siendo una de las formas más efectivas para posicionarse para moverse lateralmente en su entorno. Para negarles esa oportunidad, debe eliminar la confianza de la ecuación.

Una arquitectura de confianza cero aplica políticas de acceso basadas en el contexto (en el que se incluyen el rol y la ubicación del usuario, su dispositivo y los datos que está solicitando) para bloquear el acceso inapropiado y el movimiento lateral en todo su entorno.

La confianza cero requiere visibilidad y control sobre los usuarios y el tráfico de su entorno, incluido el cifrado; seguimiento y verificación del tráfico entre las partes del entorno; y métodos sólidos de autenticación multifactor (MFA) que vayan más allá de las contraseñas.

Lo más importante es que, en una arquitectura de confianza cero, la ubicación de un recurso en la red ya no es el principal factor de su postura de seguridad. En lugar de una segmentación de red rígida, sus datos, flujos de trabajo, servicios, etc. están protegidos por microsegmentación definida por software, lo que le permite mantenerlos seguros en cualquier lugar.

Prevenga el movimiento lateral con Zscaler

El problema son las soluciones de seguridad de red heredadas, como los cortafuegos tradicionales y las VPN. Crean una superficie de ataque masiva que los autores de amenazas pueden ver y explotar fácilmente para acceder a su entorno. Peor aún, colocan a los usuarios directamente en su red, lo que brinda a las amenazas acceso fácil a datos confidenciales.

Es por eso que creamos Zscaler Private Access™. Como parte de la plataforma de perímetro de servicio de seguridad mejor calificada y más implementada del mundo, ofrece:

• Seguridad sin igual, que va más allá de las VPN y cortafuegos heredados: los usuarios se conectan directamente a las aplicaciones, no a la red, lo que minimiza la superficie de ataque y elimina el movimiento lateral.
• El fin del peligro para las aplicaciones privadas: la primera protección de aplicaciones de su clase, con prevención en línea, engaño y aislamiento de amenazas, que minimiza el riesgo de que los usuarios se vean comprometidos.
• Productividad superior para la fuerza de trabajo híbrida de hoy: el acceso ultrarrápido a las aplicaciones privadas se extiende sin problemas a los usuarios remotos, la sede central, las sucursales y los socios de terceros.
• Una plataforma ZTNA unificada para usuarios, cargas de trabajo y TO/IoT: conéctese de forma segura a servicios, dispositivos TO/IoT y aplicaciones privadas con la plataforma ZTNA más completa del sector.

Zscaler Private Access aplica los principios de privilegios mínimos para brindar a los usuarios una conectividad directa y segura a aplicaciones privadas al tiempo que elimina el acceso no autorizado y el movimiento lateral. Como servicio nativo en la nube, ZPA puede implementarse en horas para sustituir a las VPN y las herramientas de acceso remoto heredadas por una plataforma global de confianza cero.