Buscar

Idioma

¿Qué hace que los ataques de movimiento lateral sean un punto ciego?

23rd febrero, 2022

Inicio » Blog » ¿Qué hace que los ataques de movimiento lateral sean un punto ciego?

Movimiento lateral Los ataques son efectivamente un punto ciego en la pila de seguridad actual, que no puede detectarlos ni prevenirlos en tiempo real. Este punto ciego es el resultado de un paradigma duradero que delega la protección de la identidad a los productos de seguridad de endpoints, redes y nube en lugar de reconocer las identidades de los usuarios por lo que realmente son: un sistema independiente. superficie de ataque que deben ser abordados y protegidos de manera dedicada. En este artículo sugerimos un marco conceptual para analizar y comprender mejor este punto ciego dentro del contexto general de la protección cibernética para permitir que varias partes interesadas en la seguridad empresarial reflexionen sobre su pila de seguridad y evalúen su exposición a ataques de movimiento lateral.

Tabla de contenido

  • Un breve resumen del movimiento lateral
  • Detección de ataques 101: el factor de anomalía
  • Detección de ataques 102: el factor multiaspecto
  • Prevención de ataques 101: el factor en tiempo real
  • Ataque de movimiento lateral y superficie de ataque de identidad
  • Conclusión: callejón sin salida para la protección del movimiento lateral
  • El Silverfort Manera: Prevención del movimiento lateral en tiempo real con MFA

    • Un breve resumen del movimiento lateral

    Ampliando el punto de apoyo del paciente cero a máquinas adicionales

    El movimiento lateral es el término general para describir la etapa de ataque que sigue a un compromiso inicial de una máquina (también conocido como paciente cero) accediendo y ejecutando código en máquinas adicionales en el entorno. Realizar un movimiento lateral es una necesidad clave para el atacante ya que en la mayoría de los casos el paciente cero, si bien es más vulnerable que otras máquinas del entorno, no puede por sí solo satisfacer los objetivos del ataque. De ahí surge la necesidad de acceder a máquinas adicionales y formar un camino para cumplir los objetivos del ataque.

    Las credenciales de usuario comprometidas son los principales facilitadores del movimiento lateral

    Pero, ¿cómo se produce el movimiento de una máquina a otra? En un entorno empresarial sólo hay una forma de hacerlo: iniciar sesión con las credenciales de usuario. Por lo tanto, lo que normalmente seguiría al compromiso del paciente cero es una búsqueda de la cuentas de usuario que han iniciado sesión en la máquina y sus credenciales (una tarea relativamente trivial que muchas herramientas de código abierto y scripts CMD o PowerShell pueden realizar). Luego, el atacante puede utilizar varias herramientas de administración para obtener los nombres de otras máquinas en el entorno e intentar iniciar sesión en ellas con las credenciales recién obtenidas. Una vez exitoso, este proceso se repite en la siguiente máquina y así sucesivamente. Uno de los hilos comunes de muchos ataques es el intento de buscar credenciales de administrador, ya que estas tienen mayores privilegios de acceso y acceso al controlador de dominio.

    En términos de riesgo y daño potencial, se ve fácilmente que el movimiento lateral es el componente clave para convertir un ciberataque de un evento local a un incidente de nivel empresarial. Sin embargo, a pesar de los importantes avances que se lograron en ciberseguridad durante la última década, el movimiento lateral sigue siendo un punto ciego en la pila de seguridad empresarial, lo que crea una brecha de seguridad crítica. Reflexionemos sobre los conceptos clave de detección y prevención de la ciberseguridad para entender por qué.

    Detección de ataques 101: el factor de anomalía

    En la mayoría de los casos, la actividad maliciosa difiere de la legítima. Para detectar una actividad maliciosa la pregunta esencial es ¿Qué anomalía genera?

    En algunos casos, la anomalía es fácil de rastrear; por ejemplo, la firma de un archivo que ya ha sido marcada como maliciosa o el tráfico de red a una IP externa que se sabe que es maliciosa. Pero los actores de amenazas perfeccionan y mejoran continuamente sus herramientas, esforzándose por eliminar o al menos minimizar estas anomalías tanto como sea posible. Por eso vemos a menudo ataques que consisten en una actividad completamente normal en un determinado aspecto pero que son anómalos en otro. Por ejemplo, una vulnerabilidad de corrupción de memoria en Chrome no desencadena una anomalía en el archivo, ya que secuestra el proceso de Chrome en ejecución. Sin embargo, el comportamiento del proceso dentro de la memoria y su interacción con el sistema operativo difiere radicalmente del flujo de ejecución normal de Chrome.

    Detección de ataques 102: el factor multiaspecto

    Pero ¿a qué nos referimos cuando hablamos de aspectos? Podemos pensar en los aspectos como diferentes perspectivas de una sola actividad. Tomemos un escenario típico de una carga útil maliciosa que se ejecuta, abre una conexión saliente con un servidor remoto y descarga un archivo adicional. El aspecto de protección de endpoints busca anomalías en el comportamiento del proceso y las firmas de los archivos, mientras que el aspecto de protección de red buscaría anomalías en el tráfico de la red. Una pila de seguridad sólida incluiría tantos aspectos como sea posible para aumentar las posibilidades de detección de actividad maliciosa.

    La protección de un solo aspecto está destinada a fallar porque existen vectores de ataque que, por definición, son legítimos en un aspecto y maliciosos en otro. El ejemplo más sencillo es la comunicación C2C. No existe ninguna anomalía en el archivo o proceso que abre la conexión ya que es el mismo que utiliza el sistema operativo para cualquier otra conexión legítima. Por lo tanto, si confiáramos sólo en el aspecto del punto final, esta actividad probablemente pasaría desapercibida. Sin embargo, el aspecto de la red relacionado con el tráfico de la red determinaría fácilmente que la dirección de destino es maliciosa y bloquearía la conexión por completo.

    Prevención de ataques 101: el factor en tiempo real

    La detección de actividad maliciosa es el primer paso. Sin embargo, el valor real de la seguridad lo proporciona la capacidad de evitar or bloquear la actividad maliciosa detectada en tiempo real. De esa manera, una plataforma de protección de puntos finales (EPP) es capaz no solo de determinar si un proceso en ejecución presenta un comportamiento malicioso, sino que también tiene el poder de finalizar la ejecución de este proceso en tiempo real. De manera similar, un firewall puede determinar que cierto tráfico de red es malicioso y bloquearlo por completo.

    Veamos ahora cómo se relacionan la anomalía, el aspecto y los factores de tiempo real. protección de movimiento lateral.

    Ataque de movimiento lateral y superficie de ataque de identidad

    La razón por la que los ataques de movimiento lateral son un punto ciego es que los controles de seguridad de los terminales y de la red no poseen el aspecto necesario para detectar las anomalías que conllevan y no tienen la capacidad de bloquearlos en tiempo real. Profundicemos más para entender por qué.

    El movimiento lateral es un ataque basado en la identidad

    Los ataques de movimiento lateral se llevan a cabo proporcionando credenciales de usuario válidas (aunque comprometidas) para iniciar sesión en recursos (servidores, estaciones de trabajo, aplicaciones, etc.) en el entorno de destino. Este introduce un severo desafío de detección porque la autenticación realizada por un atacante que realiza un movimiento lateral es esencialmente idéntica a una autenticación realizada por un usuario legítimo. Ambos implican una proceso de autenticacion que comprende pasar credenciales a un proveedor de identidad (por ejemplo Active Directory), que los valida y concede o deniega el acceso en base a esta validación. De esa manera, un ataque de movimiento lateral es, en esencia, una serie de autenticaciones que utilizan la infraestructura de autenticación legítima con fines maliciosos.

    Desafío de detección de movimiento lateral n.° 1: un factor de anomalía bajo

    Esto significa que estamos ante un factor de anomalía muy bajo para empezar. La única diferencia entre una autenticación maliciosa y una legítima es que la primera la realiza un atacante mientras que la segunda la realiza un usuario malintencionado. Eso no deja mucho margen de anomalía con el que trabajar, ya que la anomalía no se encontraría en la autenticación en sí sino en el contexto circundante. Entendamos por qué revelar este contexto está más allá del alcance de los aspectos de protección de redes y terminales.

    Desafío de detección de movimiento lateral n.º 2: discrepancia entre los aspectos de la red y el terminal

    Como se explicó anteriormente, el movimiento lateral es una serie de autenticaciones maliciosas de una máquina comprometida a otra.

    El aspecto de protección de endpoints no es eficiente para determinar que dicha autenticación es maliciosa porque se centra en anomalías en la ejecución de archivos y procesos. Este aspecto no puede revelar ninguna anomalía debido al parecido que hemos descrito. Si, por ejemplo, un atacante decide emplear el PsExec herramienta para conectarse de forma remota desde el paciente cero a otra máquina con un conjunto de credenciales comprometidas, el proceso iniciado será PsExec.exe, que es el mismo proceso que se iniciaría si un administrador legítimo hubiera elegido realizar la misma conexión.

    El aspecto de protección de red se quedaría corto en la detección del movimiento lateral por la misma razón. El tráfico de red desde el paciente cero hasta la nueva máquina es 100% similar al que generaría un servicio de asistencia técnica legítimo al solucionar de forma remota un problema de terminal para un empleado.

    Desafío n.º 3 de prevención de movimientos laterales: la falta de factor de tiempo real en las soluciones de red y endpoints

    Supongamos que hemos conseguido superar en parte las dificultades de detección. Todavía queda un desafío crítico que resolver: la falta de capacidades de prevención en tiempo real tanto en los productos de protección de redes como de endpoints. Incluso si el PPE de alguna manera logra determinar que un proceso ejecutado implica sin lugar a dudas que se está produciendo un ataque de movimiento lateral, no puede hacer nada para evitarlo. Si bien, en teoría, una solución de red podría proporcionar esta prevención con una segmentación estricta del entorno, en la práctica no impedirá el movimiento lateral dentro del segmento comprometido ni bloqueará a los usuarios administradores comprometidos que normalmente están exentos de las limitaciones de la segmentación. .

    De hecho, el único componente de la pila de TI empresarial que puede evitar el movimiento lateral en tiempo real es el propio proveedor de identidad, que en la mayoría de los entornos locales sería Active Directory.

    Active Directory Brechas de detección y prevención

    AD gobierna el proceso de autenticación en sí y determina si se concede o deniega una solicitud de acceso a un recurso. Si en algún lugar se pudiera encontrar alguna prevención en tiempo real contra el movimiento lateral, sería allí.

    Sin embargo, dos problemas importantes impiden que AD realice la tarea de protección en tiempo real. El único control de seguridad que AD puede realizar es validar la coincidencia de las credenciales del usuario; en el caso de movimiento lateral, no sirve de nada porque la coincidencia existe (ese es el propósito de comprometer estas credenciales en primer lugar). Por lo tanto, el potencial de la protección en tiempo real no se puede aprovechar porque AD nunca sabrá cuándo aplicarla.

    Conclusión: callejón sin salida para la protección del movimiento lateral

    En resumen, la protección de redes y puntos finales no puede detectar de manera eficiente los ataques de movimiento lateral y no tiene la capacidad de prevenirlos. Active Directory carece de la capacidad de discernir entre un ataque de movimiento lateral y una autenticación legítima, lo que deja su potencial de protección inactivo y no se puede utilizar para una protección real. Esta es la razón principal por la que la mayoría de las organizaciones diseñan su pila de seguridad para prevenir las etapas de ataque que preceden al movimiento lateral y minimizar reactivamente sus daños después de su detección. Pero el movimiento lateral en sí no se contiene ni se aborda.

    El Silverfort Manera: Prevención del movimiento lateral en tiempo real con MFA

    El Silverfort La plataforma Unified Identity Protection es la primera solución que ofrece una prevención perfecta y en tiempo real de ataques de movimiento lateral mediante la integración nativa con Active Directory para agregar una capa de seguridad tanto de análisis de riesgos como Autenticación de múltiples factores (MFA). Para aprender más sobre Silverfortcapacidades, visite nuestro Protección de prevención de movimiento lateral página o programar una manifestación con uno de nuestros expertos.

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  

    Marzo 2nd, 2024

    Protección MFA para redes aisladas
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora