Al igual que en el ajedrez, los movimientos que parecen menos inofensivos son los del peón, no obstante, de pronto sin darte cuenta ni de cómo, ni cuándo paso, un peón que va paso a paso se sitúa a un lado, y repentina y sigilosamente ha logrado dar jaque al rey. De forma parecida funcionan los conocidos movimientos laterales en la red, que actúan sigilosamente hasta que por fin logran acceder a información valiosa de una organización.
¿Qué son y cómo actúan?
Luego de lograr acceder a la red, el ataque actúa de forma lenta y poco a poco los atacantes usan herramientas y técnicas para ir escalando en los privilegios que tienen, con el objetivo de encontrar al “rey y a la reina” si hacer mucho ruido, y sin hacerse visibles.
Este ataque se diferencia de las amenazas actuales persistentes, conocidas como APTs, por sus siglas en inglés, debido a que son mucho más sofisticados, ya que a pesar de ser detectados en la máquina en la que se originó el ataque es difícil rastrear su trayecto, ya que evitan su detección en otros equipos.
Este modus operandi logra poner al tiempo de su lado, ya que, al ser identificados, podría pensarse que ya han sido eliminados debido a que no hay rastros y tampoco existe una amenaza en acción, además, no hay visibilidad de su presencia en la red. Juegan con este factor, esperando el momento justo para poder atacar, así que pueden pasar días e incluso meses para que comiencen a extraer información valiosa que está alojada en la red.
Siga estos 4 pasos para estar protegido frente ataques de movimiento lateral
Aunque difícil de detectar, este ataque no es invencible, existen recomendaciones y acciones que se deben seguir para poder librarnos de ellos.
- Contar con controles de seguridad de información como línea de base, es lo principal para mantenerlos a raya.
- Identificar el cambio en configuraciones de referencia. Por ejemplo, cuando un router se desvía se puede detectar un ataque, por ello es imprescindible evaluar estos cambios para saber si se trata de una actividad sospechosa.
- Los controles basados en detección de amenazas se deben de vincular al funcionamiento de todo el entorno digital en general, así tendrá la capacidad de informar sobre lo que está pasando, y de lanzar alarmas sobre posibles ataques en tiempo oportuno. Dotando a la red de inteligencia.
- Integrar un proceso y control que ayude a identificar la integridad de los archivos. Lo anterior para que pueda validar cada sistema operativo o el software de los aplicativos con relación a la línea de base. Esto funciona comparando la suma de comprobación criptográfica conocida (la línea de base) con la del estado actual del archivo. Estos sistemas también pueden usar otras características de los archivos para darse cuenta si son dañinos. Para esto hay soluciones FIM (File Integrity Monitoring) que nos ayudan con esta tarea, al mismo tiempo que nos ofrecen visualización de los cambios que se realizan en configuraciones.
No todo está perdido
Las soluciones FIM echan mano de inteligencia para identificar los cambios y saber si modifican las reglas de integridad, además, la detección de cambios se usa en todo el entorno; servidores críticos, firewalls, sistemas de archivos, bases de datos aplicaciones e infraestructura o dispositivos conectados a la red.
Es importante que las organizaciones tengamos en cuenta que actualmente el ataque lateral es una de las técnicas más usadas de los cibercrímenes, por lo que actuar para evitar esta amenaza debe de ser una prioridad. De hecho, es sabido que el conocido ataque a Colonial Pipeline uso movimientos laterales para perpetuar este acto.
Cybolt puede ayudar a las empresas a implementar estrategias y soluciones para detectar de forma oportuna los movimientos laterales, consulta nuestra página web para conocer toda nuestra oferta.