¿Qué es un movimiento lateral en la ciberseguridad?

Un movimiento lateral se produce en la ciberseguridad cuando un atacante compromete una cuenta o un dispositivo y utiliza el compromiso para acceder a otras cuentas o dispositivos. El movimiento lateral y la escalada de privilegios suelen ir de la mano cuando un atacante se mueve por la red y sigue accediendo con unos privilegios cada vez mayores hasta que se roban datos confidenciales. Los atacantes pueden obtener un movimiento lateral sin detección si la red no dispone de herramientas de supervisión. Para detener el movimiento lateral, las organizaciones necesitan una infraestructura de seguridad resiliente capaz de detectar patrones anómalos. 

Entender el movimiento lateral

Los datos confidenciales suelen ser accesibles solo con cuentas de usuario de alto privilegio, que son pocas en número. Por otro lado, las cuentas de usuario de bajo privilegio son mucho más numerosas, lo que proporciona a los atacantes más oportunidades cuando necesitan cualquier cuenta para un compromiso inicial. Por ejemplo, los documentos de impuestos corporativos normalmente solo son accesibles para contables, directores financieros y analistas financieros. Si bien solo hay unas pocas de estas cuentas, las cuentas de menor privilegio pueden usarse para inyectar malware en la red o enviar correos electrónicos de phishing a los empleados financieros para obtener sus credenciales de cuenta.

El movimiento lateral también puede permitir que los atacantes accedan a otros dispositivos. Por ejemplo, un atacante compromete una cuenta en una estación de trabajo con acceso a un servidor a través de una máquina local. Luego, el malware puede instalarse en el servidor. El malware puede ser ransomware, una herramienta de acceso remoto (RAT) o un script utilizado para filtrar los datos. En la mayoría de los movimientos laterales, el objetivo es obtener datos confidenciales. 

Técnicas utilizadas en el movimiento lateral

En la mayoría de los movimientos laterales, el compromiso inicial es una cuenta de usuario empresarial. Los atacantes acceden a estas cuentas usando unas cuantas estrategias: pulverizaciones de credenciales, pasa la hash, phishing o inyección de malware. Aquí tiene una breve descripción de cada estrategia:

• Rociadores de credenciales: Ataca las solicitudes de autenticación de script usando credenciales conocidas. Si los usuarios asignan la misma contraseña a múltiples cuentas, es posible que las credenciales robadas de un sitio web puedan autenticar a un atacante en las cuentas de empresa del usuario, especialmente si no se configura la autenticación de dos factores.
• Pase la hash: Si bien una base de datos de hashes de contraseña no revela un valor de texto sin formato, los ataques de diccionario de fuerza bruta pueden exponer el valor de texto sin formato detrás de un hash.
• Phishing: En el compromiso de correo electrónico empresarial (BEC), los atacantes comprometen una cuenta de correo electrónico y envían correos electrónicos de phishing a los usuarios con mayores privilegios.
• Inyección de malware: Las herramientas de acceso remoto y la escucha de malware en los datos pueden proporcionar acceso a otras máquinas o cuentas de la red.

Los atacantes suelen usar el phishing o el malware para acceder primero a una cuenta de bajo privilegio. Usando la cuenta de correo electrónico de ese usuario, el atacante envía un mensaje a otro usuario del departamento financiero, de recursos humanos o del equipo ejecutivo pidiendo acceso a un recurso específico. Si el objetivo del phishing se ve obligado, el atacante ahora tiene acceso a datos confidenciales.

Herramientas y tecnologías que facilitan el movimiento lateral

Los ciberdelincuentes utilizan un conjunto de herramientas para realizar varios ataques. Los grupos de atacantes pueden crear los suyos propios, pero la comunidad de hackers tiene aplicaciones abiertas y gratuitas propias. Estos son algunos ejemplos:

• Mimikatz: Algunos programas almacenan en caché las credenciales en la memoria. Mimikatz examina la memoria del ordenador en busca de credenciales almacenadas en caché para acceder a otros servidores o estaciones de trabajo.
• PsExec: Microsoft ha desarrollado PsExec para administradores de red. Permite que los administradores inicien o detengan los servicios en servidores remotos. En las manos equivocadas, PsExec puede usarse para iniciar el malware en un servidor remoto. El malware puede usarse para robar datos o credenciales.
• PowerShell: PowerShell es la versión de Microsoft de scripting y lenguajes de scripting, pero puede usarse para acceder a ordenadores remotos, descargar malware en un dispositivo local o realizar actividades maliciosas en la red.

Detección y prevención del movimiento lateral

Después de un compromiso inicial, un atacante tiene un tiempo limitado para aumentar los privilegios o moverse lateralmente por la red. Antes del desglose de la cuenta de bajo privilegio, las organizaciones deben detectar un comportamiento extraño de la red para evitar daños adicionales después de una vulneración de datos inicial. Las organizaciones tienen varias estrategias para detectar la actividad anómala y detener el movimiento lateral:

• Utilice la protección de endpoint: Los agentes que se ejecutan en terminales (por ejemplo, infraestructura de nube o dispositivos remotos de usuario) actualizan automáticamente el software, se aseguran de que el antivirus se está ejecutando y evitan que se instale el malware.
• Permitir la supervisión de la red: Utilice las soluciones de supervisión de la red para observar continuamente los patrones de comportamiento de las cuentas de usuario. Por ejemplo, un número elevado de solicitudes de acceso en un documento fiscal después de la temporada fiscal podría indicar un compromiso. La supervisión de la red alerta a los administradores para que revisen la actividad.
• Ofrezca formación sobre seguridad: Formar a los usuarios con muchos privilegios para identificar el phishing y la ingeniería social.
• Configure la segmentación de la red: La segmentación de su red bloquea el acceso de un segmento a otro, almacenando información sensible. Por ejemplo, el segmento financiero debe bloquear las solicitudes del segmento de ventas. Esta estrategia reduce la movilidad de un movimiento lateral.
• Cifrar datos: Si sufre una vulneración de datos, los datos que se han cifrado serán ilegibles para un atacante.

Conclusión

Para detener el movimiento lateral, la clave del éxito es la detección y la supervisión proactivas, la segmentación de su red y la protección de los dispositivos. Las normativas de cumplimiento también exigen la supervisión y la auditoría de las solicitudes de acceso a los datos confidenciales. SIEM (gestión de eventos e información de seguridad) es una buena solución para supervisar y alertar a los administradores de comportamientos inusuales. Para complementar su infraestructura de seguridad, proporcione formación a los empleados y contratistas para ayudarles a identificar e informar de posibles ataques como el phishing.