What is Lateral Movement?

Durante un ciberataque, el sistema al que un actor de una ciberamenaza accede en primer lugar dentro de la red de una organización rara vez es su objetivo final. Por ejemplo, muchos ciberataques se centran en robar, cifrar o destruir datos valiosos, que se almacenan en bases de datos, pero los atacantes entran en los sistemas de una organización mediante phishing u otras técnicas que les permiten comprometer las estaciones de trabajo de un usuario.

Una vez que se han afianzado en los sistemas de una organización, los atacantes suelen moverse lateralmente para acceder a otros sistemas y datos dentro del entorno de la organización. Esto puede incluir la ampliación de sus permisos o comprometer otras cuentas para obtener acceso a recursos adicionales.

Horizon XDR/XPR Programa de Disponibilidad Temprana

What is Lateral Movement?

Tipos de técnicas de movimiento lateral

Una vez dentro del entorno de una organización, los ciberdelincuentes pueden utilizar diversos medios para ampliar su acceso.

Algunas técnicas comunes incluyen las siguientes:

  • Robo de credenciales: Una vez que un atacante tiene acceso a los sistemas corporativos, suele intentar robar los hashes de las contraseñas y espiar el tráfico de la red. Esto puede proporcionarles acceso a cuentas adicionales a través de ataques de descifrado de contraseñas, pass-the-hash y pass-the-ticket.
  • Interno phishingde lanza: A menudo, la formación antiphishing se centra en la identificación de mensajes maliciosos que proceden del exterior de la organización. Si un atacante puede acceder a las cuentas de un usuario legítimo, puede enviar correos electrónicos de phishing selectivo, mensajes de Slack u otros mensajes mucho más plausibles.
  • vulnerabilidad explotable: Al igual que la aplicación orientada al exterior de una organización, la aplicación y los sistemas internos pueden tener vulnerabilidad explotable. Los atacantes pueden explotar esta vulnerabilidad para obtener acceso a sistemas y datos adicionales.

Etapas del movimiento lateral

Si bien los atacantes pueden usar múltiples técnicas para el movimiento lateral, el proceso general sigue siendo en gran medida el mismo.

Las tres etapas principales del movimiento lateral incluyen:

  • Reconnaissance: El cortafuegos y otras soluciones de seguridad de la red limitan la capacidad de un atacante externo para conocer la estructura interna de la red corporativa. Una vez dentro, los actores de la ciberamenaza comenzarán comúnmente realizando un reconocimiento, examinando el sistema que han comprometido y la estructura del resto de la red. Con base en esta información, pueden desarrollar un plan para lograr sus objetivos.
  • Robo de credenciales: El movimiento lateral a menudo implica el robo y el uso de credenciales legítimas. Los atacantes pueden acceder a las credenciales vertiéndolas desde sistemas comprometidos, utilizando keyloggers, husmeando el tráfico de red o realizando ataques de phishing. A menudo, las credenciales se roban en forma de hashes de contraseñas, que deben descifrarse para usarlas para iniciar sesión en algunos sistemas.
  • Obtención de acceso: Después de que un atacante haya identificado un nuevo sistema, comprometido una cuenta de usuario o encontrado una vulnerabilidad explotable, puede moverse lateralmente o ampliar su acceso. Desde su nuevo punto de apoyo, es posible que puedan lograr sus objetivos o que comiencen el proceso de nuevo.

Detección y prevención del movimiento lateral

Las empresas pueden adoptar diversas medidas para evitar o detectar a los atacantes que se desplazan lateralmente por su red.

Algunas de las prácticas recomendadas son las siguientes:

  • Autenticación segura – MFA: Los ciberdelincuentes suelen utilizar credenciales comprometidas para moverse lateralmente a través de los sistemas de una organización. La aplicación de una política de contraseñas sólida y la imposición del uso de la autenticación de múltiples factores (AMF) pueden ayudar a protegerse contra esta amenaza.
  • Seguridad de confianza cero: Una política de seguridad de confianza cero sólo concede a los usuarios, la aplicación, etc. el acceso y los privilegios necesarios para realizar su trabajo. Limitar el acceso hace más difícil que un atacante utilice una cuenta comprometida para moverse lateralmente por la red.
  • Detección y respuesta ampliadas (XDR): Los actores de amenazas cibernéticas suelen intentar pasar desapercibidos cuando se mueven a través de los sistemas de una organización. El contexto y la visibilidad centralizada que proporciona la XDR pueden ser muy valiosos para identificar posibles indicadores de movimiento lateral.
  • Seguridad de correo electrónico: Los ataques phishing son una forma habitual de que los atacantes obtengan un acceso inicial y se desplacen lateralmente por los sistemas de una organización. Las soluciones de seguridad del correo electrónico pueden ayudar a identificar y alertar sobre mensajes sospechosos.
  • Detección y respuesta de terminales (EDR): El movimiento lateral suele comenzar comprometiendo un terminal y robándole información sensible (credenciales, etc.). EDR puede ayudar a proteger contra la intrusión inicial y detectar el volcado de credenciales, la instalación de keyloggers y amenazas similares.
  • Análisis del tráfico en la red: El movimiento lateral se produce sobre la red. El análisis del tráfico de red puede ayudar a identificar el tráfico anómalo que podría apuntar a un reconocimiento o movimiento lateral.

Seguridad de los movimientos laterales con Check Point

Lo ideal sería identificar y bloquear a un atacante antes de que obtuviera acceso a los sistemas de una organización. Sin embargo, si esto no sucede, bloquear su acceso e impedirles alcanzar sus objetivos es la mejor opción.

Las soluciones de Check Point proporcionan a las empresas la visibilidad y el análisis de datos que necesitan para identificar y reprimir los movimientos laterales en su red. Check Point Horizon XDR ofrece visibilidad centralizada y análisis avanzados de amenazas para ayudar a los equipos de seguridad a detectar los signos más sutiles de las amenazas que se mueven por su red. Obtenga más información sobre cómo proteger su red con Check Point inscribiéndose hoy mismo en el Programa de disponibilidad anticipada de Horizon XDR.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.
Aceptar