Es posible que haya oído hablar del concepto de movimiento lateral en el contexto de las operaciones de seguridad y tenga una idea general de cómo los actores de amenazas aprovechan esta táctica para obtener acceso a sus datos. Pero, ¿qué es exactamente el movimiento lateral? ¿Y cómo afecta a las operaciones de seguridad de su organización?
¿Qué es el movimiento lateral?
Comencemos con la MITRA de definición ATT& CK™ que proporciona movimiento lateral:
El movimiento lateral consiste en técnicas que los adversarios utilizan para ingresar y controlar sistemas remotos en una red. El seguimiento de su objetivo principal a menudo requiere explorar la red para encontrar su objetivo y, posteriormente, obtener acceso a ella. Alcanzar su objetivo a menudo implica pivotar a través de múltiples sistemas y obtener acceso a cuentas. Los adversarios pueden instalar sus propias herramientas de acceso remoto para realizar Movimientos laterales o usar credenciales legítimas con herramientas nativas de red y sistema operativo, que pueden ser más sigilosas.
Técnicas de movimiento lateral
Lo importante en lo que debe enfocarse la definición de MITRE es que el movimiento lateral no es una sola técnica, sino un conjunto de técnicas que incluyen amenazas persistentes avanzadas (APT) y áreas de explotación utilizadas por los actores de la amenaza para obtener acceso a su objetivo previsto.
Estas técnicas destacan las diversas vulnerabilidades y métodos utilizados para robar credenciales y explotar servicios remotos. Puede encontrar la lista completa de técnicas de movimiento lateral y pasos para mitigar cada técnica en el sitio web de MITRE. Los ejemplos de movimiento lateral incluyen:
- Pase el hash (PtH)
- Pase el ticket (PtT)
- Explotación de servicios remotos
- Pesca submarina interna
- Secuestro SSH
- Acciones de administración de Windows
Detección de movimiento lateral
La clave para detectar técnicas indicativas de movimiento lateral es darse cuenta de que hay más de un enfoque para identificar este tipo de actividad. En muchos casos, puede requerir una combinación de enfoques para identificar cuándo un agente de amenaza se está moviendo por su entorno.
Si bien detectar el movimiento lateral dentro de su entorno no es una tarea sencilla, existen varios métodos que pueden ayudarlo a alertarlo sobre actividades sospechosas relacionadas con las técnicas de movimiento lateral y proporcionar un contexto que apoye el proceso de investigación.
Mediante el monitoreo en tiempo real y el análisis de comportamiento, puede identificar de inmediato actividades potencialmente maliciosas e investigarlas con evidencia contextual. Desglosemos exactamente cuáles son estas dos capacidades para comprender mejor cómo funcionan juntas.
Monitoreo en tiempo real (Alertas)
Recopilar, normalizar y correlacionar datos de manera efectiva en un entorno proporciona alertas en tiempo real que pueden identificar actividades sospechosas que requieren investigación adicional. Al agregar alertas, esta tecnología puede ayudar a observar la progresión de una amenaza en tiempo real y ver la actividad de composición que apunta a una amenaza real.
Al utilizar la supervisión en tiempo real, también puede aplicar reglas que se asignen al marco de trabajo MITRE ATT&CK, específicamente en torno a las técnicas de movimiento lateral. Proporcionar reglas para todas las técnicas bajo el marco puede garantizar que esté cubriendo todas las áreas potenciales de explotación.
Análisis de comportamiento (Investigación)
El análisis de comportamiento proporciona una visión única de la actividad de los usuarios y las entidades de red para priorizar y abordar la actividad que muestra una desviación significativa del comportamiento normal.
Las soluciones de análisis de comportamiento de usuarios y entidades (UEBA) utilizan aprendizaje automático (ML) para determinar tanto la línea de base (comportamiento normal) de cada usuario y entidad como la importancia de cualquier actividad que se desvíe de esa línea de base. Comprender estas desviaciones puede proporcionar evidencia contextual que apoye la investigación de una alerta en torno a una actividad sospechosa.
Dado que cada método de detección proporciona una perspectiva única y tiene diferentes requisitos de recursos y tiempos, es importante no depender únicamente de un método único que puede ser o no el enfoque correcto para cada escenario. Es posible que algunos escenarios solo necesiten alertas en tiempo real para detectar de manera eficiente técnicas de movimiento lateral, mientras que los ataques más sofisticados pueden requerir alertas e investigación a través de análisis de comportamiento para identificar con confianza a un actor malicioso.
Caso de uso de movimiento lateral
A continuación se muestra un ejemplo de ataque de movimiento lateral y secuencia de detección.
Atacante: Reconocimiento
- El atacante inicia la recopilación de reconocimiento e intel utilizando una combinación de herramientas como OpenVAS, Nmap, Shodan, etc.
Atacante: Exploit
- El atacante explota una vulnerabilidad identificada durante el reconocimiento para obtener acceso inicial.
Atacante: Robo de credenciales
- El atacante utiliza una técnica interna de spearphishing para explotar a otros usuarios dentro de la misma organización y obtener un mayor acceso.
SecOps: Alerta inicial
- Regla de correlación activada inmediatamente debido a indicadores de phishing y alerta generada
- Nuevo caso creado
- Investigación iniciada
Atacante: Escalado de privilegios
- Después de una explotación de pesca submarina exitosa, el atacante intenta escalar privilegios para obtener acceso al objetivo deseado.
SecOps: Alerta adicional Activada
- Se activa una alerta debido a la modificación de privilegios.
- Se añade una nueva alerta a un caso existente.
- SecOps continúa la investigación utilizando análisis de comportamiento para identificar actividad anómala y agregar contexto a las alertas existentes.
Atacante: Exfiltración de datos
- El atacante inicia una sesión RDP para acceder de forma remota al servidor de destino.
- El atacante visualiza datos confidenciales en el servidor de destino.
- El atacante comienza a copiar archivos desde el servidor.
SecOps: Alerta adicional Activada y Respuesta
- Se activa una alerta debido al acceso a archivos confidenciales.
- Se activa una alerta debido a la copia de archivos.
- Se agregan nuevas alertas a un caso existente, que ahora tiene pruebas suficientes para comenzar la corrección.
- SecOps inicia una acción automatizada para desconectar la sesión RDP del usuario y bloquear al usuario fuera del servidor.
Prevenir el movimiento lateral
Reducir el tiempo que tarda su equipo en detectar y responder al movimiento lateral reducirá las posibilidades de que un agente de amenaza se mueva a través de su red y, finalmente, obtenga acceso a datos confidenciales. Las soluciones de UEBA que integran capacidades de orquestación, automatización y respuesta de seguridad (SOAR) pueden ayudar a su equipo a identificar rápidamente toda la actividad maliciosa relacionada para una detección y respuesta rápidas.
Vea nuestro seminario web bajo demanda para obtener más información sobre el mercado de UEBA y cómo puede dar a su equipo visibilidad de las amenazas internas aquí.
