Zpedia 

/ ¿Qué es el movimiento lateral?

¿Qué es el movimiento lateral?

El movimiento lateral es un conjunto de técnicas que los ciberdelincuentes utilizan para acceder a otros dispositivos, aplicaciones o recursos en una red después de comprometer primero un punto final. Utilizando credenciales de inicio de sesión robadas u otros métodos de aumento de privilegios, los ciberdelincuentes se mueven por la red para acceder a los datos confidenciales. Los atacantes camuflan sus actividades como tráfico de red permitido para evitar la detección y prolongar sus ataques.

Vea nuestro vídeo corto
Protección contra la amenaza cibernéticaSeguridad de red
  1. ¿Cómo sucede?
  2. Ejemplos
  3. Desafíos de seguridad
  4. Detectar y prevenir
  5. El poder de la confianza cero
  6. Cómo puede ayudar Zscaler
  7. Recursos sugeridos
  8. Preguntas frecuentes
  9. Temas relacionados

¿Cómo se produce el movimiento lateral?

Un autor de amenazas puede moverse lateralmente después de comprometer un terminal conectado a una red que carece de controles de acceso adecuados. Puede lograrlo a través del abuso de credenciales, explotando una vulnerabilidad en un servidor o aplicación, aprovechando el malware para crear una puerta trasera y con varios otros métodos. Muchas medidas de seguridad de red convencionales no detectarán actividad maliciosa porque parece provenir de usuarios legítimos.

Veamos más de cerca cómo se desarrolla el movimiento lateral.

Etapas del movimiento lateral

Un ataque de movimiento lateral se produce en tres pasos principales:

  1. Reconocimiento: el autor de la amenaza explora la red. A medida que comprenda las convenciones de nomenclatura y las jerarquías de red, identifique puertos de cortafuegos abiertos y señale otras debilidades, el ciberdelincuente puede formular un plan para profundizar en la red.
  2. Infiltración: utilizando credenciales de inicio de sesión obtenidas a menudo mediante ataques de phishing u otra ingeniería social, el autor de la amenaza emplea técnicas de volcado de credenciales y escalada de privilegios para obtener acceso a diferentes partes del sistema.
  3. Acceso: una vez que el autor de la amenaza localiza el sistema o los datos objetivo, puede comenzar su ataque en serio: entregando una carga útil de malware, extrayendo o destruyendo datos, u otros posibles fines.

¿Qué tipos de ataques utilizan el movimiento lateral?

La mayoría de los tipos de ataques incluyen, o pueden incluir, técnicas de movimiento lateral, incluidos ataques de ransomware y otro malware, phishing, etc. Una vez que han establecido un punto de apoyo en una red, los atacantes pueden usar esa posición como base desde la cual realizar más ataques.

Mediante el uso de técnicas como el secuestro y el spear phishing, los atacantes pueden moverse por la red como si fueran usuarios legítimos sin alertar a las medidas de ciberseguridad convencionales sobre su presencia.

Ejemplos de movimiento lateral en ciberataques

El movimiento lateral no es una técnica, sino más bien un elemento estratégico de un ataque que puede adoptar muchas formas dependiendo de las necesidades del atacante. Las tácticas comunes de ataque de movimiento lateral incluyen:

  • Pasar el hash (PtH): en lugar de utilizar una contraseña de texto sin formato para la autenticación, un atacante ingresa un hash de contraseña robado (la misma cadena cifrada almacenada en el autenticador) y se le concede acceso.
  • Pasar el ticket (PtT): un atacante utiliza tickets robados del protocolo de autenticación predeterminado de Windows, Kerberos, para autenticarse sin necesidad de conocer la contraseña del usuario.
  • Explotación de servicios remotos: una vez dentro de un sistema, un atacante puede aprovechar vulnerabilidades o permisos mal configurados en servicios remotos conectados para obtener acceso a otras partes de la red.
  • Spear phishing interno: un atacante que ya tiene acceso a la cuenta de un usuario legítimo puede utilizar ataques de phishing para obtener credenciales compartidas, códigos de acceso y similares. Los objetivos que creen saber con quién están hablando tienen menos probabilidades de sospechar de un ataque.
  • Secuestro de SSH: los atacantes pueden secuestrar conexiones realizadas a través de Secure Shell (SSH), un protocolo de acceso remoto común en macOS y Linux, para evitar la autenticación y obtener acceso a otro sistema a través del túnel SSH cifrado.
  • Recursos compartidos de administrador de Windows: la mayoría de los sistemas Windows habilitan recursos compartidos de administrador de forma predeterminada. Si un autor de amenazas obtiene acceso administrativo, los recursos compartidos de administrador pueden permitirle moverse lateralmente con rapidez aprovechando sus permisos para administrar y acceder a otros hosts.

¿Cuáles son los desafíos de seguridad del movimiento lateral?

En una topología de red que permite el movimiento lateral sin restricciones, un ataque puede moverse rápidamente de un host a otro, a menudo sin hacer saltar ninguna alarma. Algunos malware lo hacen demasiado rápido como para que cualquier equipo de seguridad lo contenga, especialmente si confía en medidas de seguridad que sólo le alertan una vez se ha producido el hecho.

El auge del trabajo híbrido y remoto ha generado sus propios problemas. Los usuarios se conectan desde todo tipo de terminales, que pueden tener controles de seguridad únicos. Cada uno de estos puede representar una vulnerabilidad potencial, por lo que son otro vector de ataque que pueden usar los atacantes.

Sin embargo, lo más peligroso es el riesgo de las amenazas persistentes avanzadas (APT). Un atacante habilidoso puede permanecer en su red sin que lo vean durante meses, acceder a información privilegiada y exfiltrar datos.

Pasos para prevenir y detectar el movimiento lateral

Para luchar contra el movimiento lateral hay que hacer dos cosas.

Prevenir el movimiento lateral en tiempo real

Por un lado, es necesario detener el movimiento lateral antes de que se produzca. Para ello:

  • utilice una seguridad de terminal moderna y eficaz. El trabajo híbrido ha llegado para quedarse y, para mantener a los trabajadores seguros y productivos, necesita soluciones de movilidad y terminales que permitan un control de acceso de confianza cero de extremo a extremo, detección de amenazas y respuesta en una amplia variedad de dispositivos.
  • Proteja objetivos de alto valor. Comprometer una cuenta con privilegios administrativos da al atacante acceso a sus datos más valiosos y confidenciales. Proteja estas cuentas con los niveles más altos de seguridad y reserve su uso exclusivamente para las tareas que requieran los privilegios más altos.
  • Implemente la microsegmentación. La microsegmentación crea zonas seguras que le permiten aislar cargas de trabajo entre sí y protegerlas individualmente. Los segmentos granulares se pueden adaptar a las necesidades de diferentes tráficos, creando controles que limitan los flujos de red y aplicaciones entre cargas de trabajo a aquellos que están explícitamente permitidos.
  • Mantenga un enfoque de confianza cero que dé prioridad a la seguridad. Todos los miembros de su organización (no sólo el departamento de TI o un pequeño equipo de seguridad) deben asumir la responsabilidad de la seguridad. Garantizar que todo el personal comprenda y cumpla los protocolos de seguridad comunes y adoptar un enfoque de confianza cero en materia de seguridad reducirá el riesgo de sufrir ciberataques más que cualquier otra cosa.

Detectar movimiento lateral

Por otro lado, cuando los atacantes logran pasar, debe poder detenerlos en seco. Para eso, necesita:

  • Supervisar la actividad de inicio de sesión. Vigilar de cerca el tráfico de autenticación puede permitirle detectar compromisos directos y robo de credenciales antes de que los atacantes puedan causar daños.
  • Ejecutar análisis de comportamiento. El análisis basado en el aprendizaje automático puede establecer una línea de base del comportamiento normal del usuario y señalar desviaciones que podrían significar un ciberataque.
  • Utilizar tecnología de engaño. Los activos señuelo realistas desplegados en su red actúan como señuelo para los ciberdelincuentes. Incapaces de diferenciar lo falso de lo real, los atacantes activan una alarma silenciosa en el momento en que interactúan con un señuelo.
  • Utilizar la búsqueda de amenazas: adoptando un enfoque proactivo para identificar amenazas previamente desconocidas o en curso en su red, la búsqueda de amenazas experta (a través de un servicio administrado, para la mayoría de las organizaciones) es una poderosa defensa contra ataques avanzados y sigilosos.

Prevenga y controle el movimiento lateral con la confianza cero

Aprovecharse de la confianza, no sólo de la que confiere la autenticación, sino también de la que confiere la naturaleza humana, es uno de los trucos más antiguos que conocen los atacantes. Hoy día sigue siendo una de las formas más efectivas para posicionarse y poder moverse lateralmente en su entorno. Para negarles esa oportunidad, debe eliminar la confianza de la ecuación.

Una arquitectura de confianza cero aplica políticas de acceso basadas en el contexto (en el que se incluyen el rol y la ubicación del usuario, su dispositivo y los datos que está solicitando) para bloquear el acceso inapropiado y el movimiento lateral en todo su entorno.

La confianza cero requiere visibilidad y control sobre los usuarios y el tráfico de su entorno, incluido el cifrado, el seguimiento y la verificación del tráfico entre las partes del entorno y métodos potentes de autenticación multifactor (MFA) que vayan más allá de las contraseñas.

Fundamentalmente, en una arquitectura de confianza cero, la ubicación de la red de un recurso ya no es el factor más importante en su postura de seguridad. En lugar de una segmentación rígida de la red, sus datos, flujos de trabajo, servicios y demás están protegidos mediante microsegmentación definida por software, lo que le permite mantenerlos seguros en cualquier lugar.

Prevenga el movimiento lateral con Zscaler

El problema son las soluciones de seguridad de red heredadas, como los cortafuegos tradicionales y las VPN. Crean una superficie de ataque masiva que los autores de amenazas pueden ver y explotar fácilmente para acceder a su entorno. Peor aún, colocan a los usuarios directamente en su red, lo que brinda a las amenazas acceso fácil a datos confidenciales.

Por eso creamos Zscaler Private Access™. Como parte de la plataforma de perímetro de servicio de seguridad mejor valorada y más implementada del mundo, ofrece:

  • Seguridad incomparable, más allá de las VPN y cortafuegos heredados: los usuarios se conectan directamente a las aplicaciones, no a la red, minimizando la superficie de ataque y eliminando el movimiento lateral.
  • El fin del compromiso de aplicaciones privadas: la primera protección de aplicaciones de su tipo, con prevención en línea, engaño y aislamiento de amenazas, minimiza el riesgo de que los usuarios se vean comprometidos.
  • Productividad superior para el personal híbrido actual: el acceso ultrarrápido a aplicaciones privadas se extiende sin problemas a usuarios remotos, oficinas centrales, sucursales y socios externos.
  • Plataforma ZTNA unificada para usuarios, cargas de trabajo e IoT/OT:conéctese de forma segura a aplicaciones, servicios y dispositivos OT/IoT con la plataforma ZTNA más completa del sector.

Como la plataforma ZTNA más implementada del mundo, Zscaler Private Access aplica los principios de privilegios mínimos para dar a los usuarios una conectividad segura y directa a las aplicaciones privadas, al tiempo que elimina el acceso no autorizado y el movimiento lateral. ZPA es un servicio nativo de la nube que se puede implementar en cuestión de horas para reemplazar las VPN y las herramientas de acceso remoto heredadas por una plataforma integral de confianza cero, que incluye:

promotional background

Zscaler Private Access proporciona un acceso rápido, seguro y sin problemas a las aplicaciones privadas al tiempo que minimiza la superficie de ataque y el movimiento lateral.

Solicitar una demoMás información sobre Zscaler Private Access

Recursos sugeridos

Comprender la progresión del ataque
Leer el blog
Zscaler Private Access
Más información
2021 INFORME DE RIESGO DE VPN
Lea el informe
¿Qué es el acceso a la red de confianza cero (ZTNA)?
Lea el artículo
Zscaler Cloud Protection
Más información
01 / 03
Preguntas frecuentes