Qué es el movimiento lateral?

El movimiento lateral no es una característica de todos los ciberataques, pero puede ser una de las amenazas de ciberseguridad más dañinas. Esto se debe a que el movimiento lateral se basa en el robo de credenciales de usuario para llegar progresivamente más profundo dentro de una red violada. Este tipo de violación requiere una respuesta a incidentes más compleja por parte de los equipos de seguridad y, por lo general, tiene un ciclo de vida de respuesta más largo que cualquier otro vector de infección.

En términos generales, los ataques de movimiento lateral tienen dos partes: una brecha inicial seguida de un movimiento interno. Los hackers primero deben obtener acceso a una red evadiendo la seguridad de endpoint. Pueden usar ataques de phishing o malware para comprometer un dispositivo o una aplicación, u obtener acceso inicial a través de un puerto de servidor abierto.

Una vez que los atacantes están dentro, pueden comenzar a ramificar a otras áreas de la red a través de estas etapas de movimiento lateral:

Una vez que se hicieron con un punto de apoyo, los atacantes trazan un mapa de la red y planean una ruta hacia su objetivo. Buscan información sobre jerarquías de red, sistemas operativos, cuentas de usuario, dispositivos, bases de datos y aplicaciones para comprender cómo están conectados estos activos. También podrían evaluar los controles de seguridad de la red y luego usar lo que aprendan para eludir a los equipos de seguridad.

Cuando los hackers entienden el diseño de la red, pueden usar una variedad de técnicas de movimiento lateral para llegar a más dispositivos y cuentas. Al infiltrarse en más recursos, los hackers no solo se acercan más a su objetivo, sino que también dificultan su eliminación. Incluso si las operaciones de seguridad los eliminan de una o dos máquinas, aún tienen acceso a otros activos.

A medida que los hackers se mueven lateralmente, intentan capturar activos y cuentas con privilegios cada vez mayores. Este acto se denomina "escalada de privilegios". Cuantos más privilegios tengan los atacantes, más podrán hacer dentro de la red. En última instancia, los hackers pretenden obtener privilegios administrativos, que les permitan ir prácticamente a cualquier lugar y hacer prácticamente cualquier cosa.

Los hackers combinan y repiten técnicas de movimiento lateral según sea necesario hasta alcanzar su objetivo. A menudo, buscan información confidencial para recopilar, cifrar y comprimir para la exfiltración de datos a un servidor externo. O podrían querer sabotear la red eliminando datos o infectando sistemas críticos con malware. Dependiendo de su objetivo final, los hackers pueden mantener puertas traseras y puntos de acceso remoto durante el mayor tiempo posible para maximizar el daño.

Volcado de credenciales: los hackers robarán los nombres de usuario y contraseñas de usuarios legítimos y luego "volcarán" estas credenciales en sus propias máquinas. También pueden robar las credenciales de los administradores que acaban de iniciar sesión en el dispositivo.

Ataques de paso de hash: Algunos sistemas transforman o "hash" las contraseñas en datos ilegibles antes de transmitirlas y almacenarlas. Los hackers pueden robar estos hashes de contraseñas y utilizarlos para engañar a los protocolos de autenticación y obtener acceso a sistemas y servicios protegidos.

Pasar el tiquete: Los piratas informáticos emplean un tiquete Kerberos robado para acceder a los dispositivos y servicios de la red. (Kerberos es el protocolo de autenticación por defecto empleado en Microsoft Active Directory).

Ataques de fuerza bruta: Los piratas informáticos ingresan a una cuenta mediante el uso de scripts o bots para generar y probar posibles contraseñas hasta que una funcione.

Ingeniería social: Los hackers pueden usar una cuenta de correo electrónico de empleado comprometida para lanzar ataques de phishing diseñados para recolectar las credenciales de inicio de sesión de cuentas privilegiadas.

Secuestro de recursos compartidos: Los hackers pueden propagar malware a través de recursos compartidos, bases de datos y file systems. Por ejemplo, podrían secuestrar las capacidades de Secure Shell (SSH) que conectan sistemas a través de los sistemas operativos macOS y Linux.

Ataques de PowerShell: los piratas informáticos pueden emplear la interfaz de línea de comandos (CLI) de Windows y la herramienta de scripts PowerShell para cambiar configuraciones, robar contraseñas o ejecutar scripts maliciosos.

Vivir de la tierra: los hackers pueden confiar en los activos internos que comprometieron en lugar de malware externo en etapas posteriores del movimiento lateral. Este enfoque hace que sus actividades parezcan legítimas y las hace más difíciles de detectar.

Amenazas persistentes avanzadas (APT): El movimiento lateral es una Estrategia fundamental para los grupos de ataque APT, cuyo objetivo es infiltrar, explorar y ampliar su acceso a través de una red durante un largo periodo de tiempo. A menudo emplean el movimiento lateral para pasar desapercibidos mientras realizan múltiples ciberataques durante meses o incluso años.

Ciberespionaje: debido a que la naturaleza del ciberespionaje es localizar y monitorear datos o procesos confidenciales, el movimiento lateral es una capacidad clave para los ciberespías. Los estados-nación a menudo contratan a delincuentes cibernéticos sofisticados por su capacidad para mover libremente dentro de una red objetivo y realizar reconocimiento de activos protegidos sin ser detectados.

Ransomware: los atacantes de ransomware realizan movimientos laterales para acceder y obtener control sobre muchos sistemas, dominios, aplicaciones y dispositivos diferentes. Cuanto más puedan capturar, y cuanto más críticos sean esos activos para las operaciones de una organización, mayor será el apalancamiento que tendrán al exigir el pago de su rendimiento.

Infección por botnet: a medida que avanza el movimiento lateral, los hackers obtienen el control de cada vez más dispositivos en una red vulnerada. Pueden conectar estos dispositivos para crear una red de robots o botnet. Una infección exitosa de botnet se puede emplear para lanzar otros ataques cibernéticos, distribuir email no deseado o estafar a un amplio grupo de usuarios objetivo.

Debido a que el movimiento lateral puede escalar rápidamente a través de una red, la detección temprana es fundamental para mitigar daños y pérdidas. Los expertos en seguridad recomiendan tomar medidas que ayuden a distinguir los procesos normales de la red de las actividades sospechosas, como:

Analice el comportamiento de los usuarios: Un volumen inusualmente alto de inicios de sesión de usuarios, inicios de sesión que tienen lugar a altas horas de la noche, usuarios que acceden a dispositivos o aplicaciones inesperados o un aumento de inicios de sesión fallidos pueden ser signos de movimiento lateral. El análisis de comportamiento con machine learning puede identificar y alertar a los equipos de seguridad del comportamiento anormal del usuario.

Proteger los endpoints: los dispositivos vulnerables conectados a la red, como estaciones de trabajo personales, teléfonos inteligentes, tabletas y servidores, son los principales objetivos de las amenazas cibernéticas. Las soluciones de seguridad como la detección y respuesta de endpoints (EDR) y los cortafuegos de aplicaciones web son críticos para monitorear endpoints y prevenir violaciones de red en tiempo real.

Crear particiones de red: La segmentación de la red puede ayudar a detener el movimiento lateral. Requerir protocolos de acceso separados para diferentes áreas de una red limita la capacidad de un hacker para ramiarse. También facilita la detección del tráfico inusual de la red.

Monitorear las transferencias de datos: un aceleramiento repentino de las operaciones de la base de datos o transferencias masivas de datos a una ubicación inusual podría indicar que se está produciendo un movimiento lateral. Las herramientas que monitorean y analizan los registros de eventos de fuentes de datos, como la información de seguridad y la gestión de eventos ( SIEM) o la detección y respuesta de red ( NDR), pueden ayudar a identificar patrones sospechosos de transferencia de datos.

Emplee la autenticación multifactor (MFA): si los hackers logran robar las credenciales de los usuarios, la autenticación multifactor puede ayudar a prevenir una filtración al agregar otra capa de seguridad. Con la MFA, las contraseñas robadas por sí solas no proporcionarán acceso a los sistemas protegidos.

Investigar amenazas potenciales: los sistemas de seguridad automatizados pueden proporcionar falsos positivos y pasar por alto amenazas cibernéticas previamente desconocidas o no corregidas. La caza manual de amenazas informada por la inteligencia de amenazas más reciente puede ayudar a las organizaciones a investigar y preparar una respuesta eficaz a incidentes para amenazas potenciales.

Sea proactivo: aplicar parches y actualizar software, aplicar el acceso mínimo al sistema, capacitar a los empleados en medidas de seguridad y realizar pruebas de penetración pueden ayudar a prevenir el movimiento lateral. Es vital abordar continuamente las vulnerabilidades que crean oportunidades para los hackers.