Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Reducción de ransomware 101: Movimiento lateral entre endpoints

Illumio Editorial
,
December 14, 2020
23 min. lectura

En el peor momento posible, el ransomware es una amenaza mayor que nunca, ya que reduce las operaciones de TI a lápiz y papel y derribando negocios cuando menos podemos permitírselo. En medio de una pandemia, hemos visto el continuo aumento de ransomware para el cuidado de la salud. Aquellos de nosotros con niños aprendiendo de forma remota tenemos ransomware como el nuevo día de nieve.

¿Por qué todavía hay tantos ataques de ransomware exitosos?

¿Qué es el Movimiento Lateral?

El movimiento lateral es cuando un intruso o ataque atraviesa su perímetro y luego se mueve lateralmente a través de un entorno a otras máquinas, lo que resulta en un tamaño mucho más grande y costoso violación de datos. Esto podría comenzar en un endpoint o incluso en una carga de trabajo de centro de datos comprometida, derribar decenas de miles de computadoras de usuario final o incluso apuntar estratégicamente a sus activos de centro de datos más valiosos de la joya de la corona.

Marco ATT&CK de MITRE lo expresa claramente: “el adversario está tratando de moverse por tu entorno”. Esto significa que no solo debemos enfocarnos en evitar que las amenazas se afiancen sino también en detener a este atacante. movimiento lateral. Esto es ahora tan fundamental para el trabajo de un defensor, que el MITRE ATT&CK señala el movimiento lateral como una técnica clave del atacante para defenderse.

¿Por qué el malware tiene tanto éxito en propagarse mediante el movimiento lateral entre puntos finales? Para entender por qué sucede esto, primero tenemos que examinar cuán tradicional seguridad de aplicaciones trabaja en la protección del data center, pero no siempre el endpoint.

Movimiento lateral en el centro de datos

La seguridad del data center se centra en las comunicaciones cliente-servidor desde los endpoints hasta el servidor. En la mayoría de las aplicaciones comerciales basadas en navegador actuales, cuando un usuario ingresa la URL de la aplicación en la ventana de su navegador, el navegador abre una conexión a un servidor web que se ejecuta en un centro de datos o una nube pública. Las máquinas de usuario final se comunican con estos servidores front-end a través de puertos estándar como 80 y 443. Los servidores web detrás del perímetro corporativo están protegidos por firewalls, IPS, detección y respuesta, y otras tecnologías de seguridad del data center. Los servidores front-end están conectados a la lógica del negocio, la base de datos y otros tipos de servidores, todo dentro de los límites del centro de datos o del entorno de nube.

Aquí es donde el movimiento lateral puede hacer su daño. Si un servidor externo o una carga de trabajo se ve comprometida a través de una vulnerabilidad, un atacante puede moverse lateralmente de la carga de trabajo comprometida a donde residen datos valiosos, como en los servidores de bases de datos. En una red plana sin microsegmentación, esto no es nada difícil.

Con efectivo segmentación en su lugar, todos estos servidores “internos” están protegidos de amenazas externas. La microsegmentación evita que los atacantes o amenazas se propaguen o moviéndose lateralmente, o “este-oeste”, en data centers, nubes o redes de campus. Se contendrá una amenaza para el segmento de red o el segmento de host que se ha implementado, por lo que los atacantes no pueden moverse a otras partes de un entorno. Esto protege mejor a las organizaciones de las brechas al limitar su tamaño e impacto.

Movimiento Lateral de Endpoint a Endpoint

¿Por qué esto no es suficiente para detener el ransomware? La respuesta es que el ransomware no necesita comunicarse con el servidor para propagarse. Puede propagarse de un punto final a otro a decenas de miles de máquinas en segundos.

Ransomware generalmente se inicia desde el punto de enlace y se propaga directamente a otros puntos finales a través de RDP, SMB, SIP, Skype, etc. Las aplicaciones peer-to-peer (P2P) entre endpoints crean este movimiento lateral, o conexión este-oeste, que no implica la comunicación entre endpoints y servidores. Si bien la mayoría de las aplicaciones empresariales modernas dependen únicamente de conexiones salientes (endpoints que inician conexiones con el servidor), las tecnologías P2P aprovechan las conexiones entrantes de los endpoints vecinos. Estos endpoints se comunican sin afectar el tráfico a través de un servidor o centro de datos, lo que significa que dependen de la seguridad que existe en el propio endpoint.

Prevención del movimiento lateral entre puntos finales

¿Cuáles son los desafíos para asegurar el movimiento lateral entre puntos finales?

Visibilidad: las conexiones laterales entre endpoints en la misma subred, por ejemplo, serán invisibles para los firewalls y gateways, lo que hará que estos dispositivos de seguridad sean totalmente ineficaces para detectar y prevenir las amenazas asociadas. Esto también significa una falta total de visibilidad de lo que sucede en el hogar para los empleados que trabajan de forma remota.

¿Qué pasa con seguridad de punto final? Si bien puede detectar y responder, las herramientas EDR y EPP que se ejecutan en el endpoint son reactivas a las amenazas. En otras palabras, solo funciona después se produce una brecha, en lugar de evitar su propagación desde el principio.

Cero Confianza para el Endpoint

La mejor práctica para prevenir la propagación de infracciones es adoptar un Seguridad Zero Trust política. Esto significa permitir la lista obligatoria de servicios aprobados para que se ejecuten entre endpoints, con permisos otorgados solo para acceder con un propósito comercial legítimo.

Si alguna vez ha intentado descargar e instalar una aplicación P2P, como Skype, fuera de Internet en su computadora portátil en un nuevo trabajo y ha obtenido un nastygram de TI, entiende cómo funciona esto. Los usuarios solo deben tener acceso a recursos aprobados por la compañía, para la protección de todos.

A medida que las amenazas de seguridad evolucionan y los hackers patrocinados por el estado se vuelven cada vez más sofisticados, las soluciones de seguridad deben mantenerse al día para seguir siendo relevantes. Las soluciones Zero Trust pueden proteger varios sistemas de manera proactiva, ofreciendo cobertura de seguridad basada en los primeros principios y una baja tasa de falsos positivos. Las herramientas de software como Illumio Edge lideran el camino en la administración escalable de firewall basada en host y ofrecen protecciones de seguridad y defensa sin precedentes contra movimientos laterales maliciosos.

Obtenga más información sobre Illumio Edge en nuestro sitio web o regístrese para nuestro 21 de diciembrest seminario web hoy.

Temas relacionados

Seguridad de Endpoint

Artículos relacionados

Por qué la fabricación debe proteger los recursos de IIoT contra el ransomware
Contención de Ransomware

Por qué la fabricación debe proteger los recursos de IIoT contra el ransomware

Obtenga información sobre el riesgo de ransomware para los recursos de IIoT en el sector manufacturero.

Leer más
Desmitificación de técnicas de ransomware usando Ensamblados.net: Ensamblables EXE frente a DLL
Contención de Ransomware

Desmitificación de técnicas de ransomware usando Ensamblados.net: Ensamblables EXE frente a DLL

Conozca las diferencias clave entre Ensamblados.net (EXE frente a DLL) y cómo se ejecutan en un código inicial de alto nivel.

Leer más
S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica
Contención de Ransomware

S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica

Trevor Dearing, director de marketing de soluciones de Illumio, y Eric Hanselman, analista jefe de Inteligencia de Mercado Global de S&P Global se ocupan de las problemas del ransomware.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información