Movimiento Lateral

El movimiento lateral se ha convertido en sinónimo de violaciones de datos en los últimos años, que hace referencia a las técnicas de los ciberdelincuentes una vez que obtienen acceso a una red. El movimiento lateral permite que los hackers se muevan más profundamente en un sistema para rastrear datos confidenciales, información intelectual y otros activos de alto valor.

El actor de amenazas inicialmente obtiene acceso al sistema a través de un punto final a través de un ataque de phishing o ransomware o malware infección. Luego se hacen pasar por un usuario autorizado para continuar. Una vez dentro de la red, el actor de amenazas se mueve de un activo a otro, manteniendo el acceso continuo viajando a través del sistema comprometido y robando privilegios de usuario avanzados utilizando varias herramientas de acceso remoto.

Los ciberatacantes utilizan el movimiento lateral como táctica central, moviendo las amenazas persistentes avanzadas (APT) de hoy mucho más allá de los ciberataques más simplistas de ayer. Interna seguridad de red los equipos deben trabajar horas extras para detectar el movimiento lateral y detenerlo en sus vías.

Razones comunes por las que se produce el movimiento lateral

Los actores de amenazas maliciosas generalmente tienen un objetivo principal en mente, y puede variar de un hacker a otro. Algunas razones por las que los ciberdelincuentes utilizan el movimiento lateral para obtener acceso a una red incluyen:

  • Acceder al dispositivo de trabajo de un desarrollador para robar datos intelectuales, como el código fuente de un proyecto.
  • Leer el correo electrónico de un ejecutivo para obtener información de la empresa para manipular el mercado de valores o robar información bancaria.
  • Obtención de credenciales o escalamiento de privilegios.
  • Robar los datos del cliente del servidor responsable de hospedar la información de tarjetas de pago (PCI).
  • Obtener acceso a algún otro tipo de activo o carga útil.

Independientemente de la razón, el objetivo principal de un mal actor es comprometer el sistema y moverse a través de una red que contenga lo que quiere.

3 Etapas del movimiento lateral

Hay tres etapas de movimiento lateral utilizadas en la mayoría de los ciberataques:

  1. Reconocimiento. Durante esta etapa inicial, el atacante explora y mapea la red, los dispositivos y los usuarios del negocio. Utilizan esta etapa para conocer las jerarquías de red de la compañía, las convenciones de nomenclatura de host, diversos sistemas operativos, la ubicación de posibles cargas útiles y más inteligencia para realizar cualquier movimiento adicional en todo el sistema.
  2. Dumping de credenciales y recolección de privilegios. Para moverse a través de cualquier red con detección mínima o sin detección, un actor de amenazas necesita credenciales de inicio de sesión válidas. El término comúnmente utilizado para obtener ilegalmente credenciales de red es “vertido de credenciales”. Una forma en que los ciberdelincuentes hacen esto es engañando a los usuarios para que compartan sus credenciales a través de ataques de phishing y tiposquatting.
  3. Obtener acceso a otros puntos de comunicación y computación en la red. Una vez dentro de la red, el atacante puede repetir el proceso de movimiento lateral, pasando por alto los controles de seguridad para frustrar y comprometer los dispositivos sucesivos hasta que finalmente se detecte y se detenga.

Qué hace el movimiento lateral por un actor de amenazas durante un ciberataque

El movimiento lateral le da al actor de amenazas la capacidad de evitar la detección y respuesta por parte de los equipos de seguridad de una empresa. Con esta libre circulación a través de una red y la falta de detección, pueden retener el acceso, incluso si el equipo de TI registró la infección inicial del sistema o de la máquina.

El movimiento lateral permite un tiempo de permanencia extendido para el actor de amenazas, permitiéndole acceder a un sistema durante semanas o meses después de la brecha inicial. Se trata de una trampa que le da al equipo de detección y respuesta de la compañía una falsa sensación de seguridad, provocando que todos bajen la guardia, dejando el sistema abierto al robo de datos.

Detección de movimiento lateral

El movimiento lateral se manifiesta y se presenta como una actividad de red obvia y anómala, lo que hace que sea sospechoso para los equipos de TI vigilantes de inmediato.

Por ejemplo, si un dispositivo o computadora que generalmente se comunica con algunos otros dispositivos seleccionados y sus usuarios comienza a escanear aleatoriamente la red, es hora de tomar nota y prepararse para responder. Cualquier actividad fuera de lo normal es digna de una respuesta. Incluso si no es un escenario claro de movimiento lateral, es mejor investigarlo y descartarlo como una aberración orgánica en el curso de los negocios que correr el riesgo de dejarlo pasar.

Es difícil para los equipos de ciberseguridad detectar el movimiento lateral mientras realizan negocios principales y otras actividades diarias. Necesitan una aplicación confiable y dinámica que monitoree cómo se comunican sus aplicaciones de red, lo que les permite proporcionar información sobre la exposición a vulnerabilidades.

Con todas las observaciones e información necesarias, la aplicación toma el control del software contenedor, por ejemplo, así como de máquinas bare-metal y virtuales para proporcionar seguridad de red detener a los actores de amenazas antes de que obtengan acceso, impidiéndoles movimientos laterales y privilegios administrativos.

Movimiento Lateral en 90 Segundos

Movimiento lateral. Dos palabras que son sinónimo de “brecha” en estos días. ¿Qué es exactamente el movimiento lateral? ¿Y cómo se impide que ocurra el movimiento lateral? Ver el video para respuestas rápidas.

Cómo prevenir el movimiento lateral

Como se mencionó en el video, las brechas de ciberdelincuentes maliciosos son una inevitabilidad para las empresas. El objetivo es contenerlos lo antes posible y bloquear intentos adicionales de movimiento lateral.

La microsegmentación es una estrategia comprobada para detener el movimiento lateral del ransomware y los ciberataques. La segmentación le permite aislar aplicaciones y activos, y evitar que el ransomware y los ciberdelincuentes se propaguen a través de la red.

Aprende cómo Illumio Core e Illumio Endpoint aplique la Segmentación de Confianza Cero a aplicaciones, contenedores, nubes, data centers y endpoints. El enfoque de Illumino ofrece visibilidad integral de las dependencias de las aplicaciones y proporciona la segmentación automatizada necesaria para prevenir el movimiento lateral, contener ataques cibernéticos y proteger activos críticos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?