¿Qué son los riesgos del movimiento lateral en tu negocio? ¿En primer lugar, qué es el movimiento lateral? ¿Cómo puede tu empresa defenderse contra él? En esta publicación de invitado, Liron Barak, cofundador y CEO de BitDam, responde a estas preguntas en profundidad y pone tu seguridad informática en el camino correcto.

Si tuvieras que visualizar rápidamente tu pila de ciberseguridad, ¿cómo se vería? Para muchos, sería algo como un castillo medieval rodeado de un ejército, defendiendo valientemente a la organización contra múltiples amenazas que llegan desde diferentes vectores. En verdad, la mayoría de las organizaciones centran sus esfuerzos de ciberseguridad en prevenir amenazas externas de ingresar a la organización. Escanean los correos electrónicos entrantes, por ejemplo, y recientemente también han comenzado a escanear otras herramientas de colaboración como mensajería instantánea y unidades en la nube. Desafortunadamente, este enfoque deja un vacío masivo.

Ciberseguridad enfocada en el ingreso. Sí, protegerse contra amenazas externas no solo es una buena práctica, es esencial. Sin embargo, siempre existe el riesgo de que algo se pase por alto. Si tu defensa es solo contra atacantes desde el exterior, una vez que una amenaza ingresa, está libre de moverse sin interrupciones, infectando fácilmente otras partes de la red y causando estragos. Esto se llama movimiento lateral. Un atacante puede ingresar a una organización engañando a un empleado al azar para que divulgue sus credenciales de inicio de sesión, y luego moverse silenciosa y rápidamente hacia las joyas de la organización, obteniendo acceso a los datos más sensibles. Un ejemplo reciente doloroso es cómo se llevó a cabo el ataque de SolarWinds. Comenzó con un correo electrónico malicioso para penetrar en la organización y luego se movió lateralmente dentro de la empresa para acceder a datos sensibles. Estos tipos de ataques ocurren justo debajo de las narices de los equipos de seguridad, son difíciles de detectar y ocurren cuando la mayoría de las herramientas de seguridad aún están mirando hacia afuera en busca de la próxima amenaza externa.

La verdadera ciberseguridad es constante y continua. Este escenario muestra por qué las organizaciones no pueden depender únicamente de sus soluciones de seguridad perimetral. Deben escanear constantemente toda la comunicación interna, incluidos los correos electrónicos internos, chats, videoconferencias y cualquier cosa compartida a través de unidades en la nube y plataformas de colaboración como OneDrive o Google Drive, incluso si es solo interno. Este enfoque, monitorear la comunicación interna y externa, es fundamental para detectar ataques que podrían haber eludido las soluciones de seguridad orientadas hacia el exterior. Además, con el aumento de los ataques a la cadena de suministro, el concepto de “perímetro” es más fluido que nunca. ¿Dónde termina el perímetro de una empresa y comienza el de otra? Si un proveedor de confianza se ve comprometido (¿recuerdas el ataque a Target?), las soluciones tradicionales basadas en el perímetro a menudo son menos efectivas, si no inútiles. Lo mismo ocurre con el entorno de trabajo actual distribuido o “Trabajar desde casa”. Los empleados están utilizando sus propios dispositivos, plataformas y herramientas para comunicarse y realizar el trabajo, que no están bajo la supervisión del equipo de seguridad de la organización. Esto aumenta el riesgo de que los atacantes eludan los métodos de seguridad tradicionales y penetren en la organización. Una empresa que no protege continuamente la comunicación interna y la evalúa en busca de signos de comportamiento malicioso se puede comparar con un barco que tiene una fuga; los marineros solo buscan la próxima fuga, sin ocuparse de la actual, o del agua que se precipita amenazando con hundir el barco.

Caso en punto: correos electrónicos comprometidos que llevan al movimiento lateral. Esto suele suceder cuando se trata de correos electrónicos comprometidos. Una vez que un atacante tiene las credenciales de un usuario, a menudo solo se requiere un nombre de usuario y una contraseña, están “dentro”. En la mayoría de los casos, ahora pueden moverse libremente detrás del perímetro bien protegido de una organización, ayudándose a sí mismos con los datos. Estos datos se pueden extraer fácilmente y a menudo terminan a la venta en la Dark Web, o peor. De manera similar, una vez que un actor de amenazas obtiene acceso a una cuenta, puede enviar correos electrónicos legítimos a alguien con quien este usuario se corresponde regularmente, para que no parezca sospechoso. También pueden aprovechar un documento que se está compartiendo para atacar otro dispositivo en la empresa.

Cuando se trata de atacantes que aprovechan el movimiento lateral, surge un patrón familiar:

• Obtener credenciales: el primer objetivo de los atacantes es obtener credenciales. Quieren moverse tanto como sea posible dentro de la red, por lo que con cada punto final adicional comprometido o nivel de credencial obtenido, pueden moverse aún más y acercarse a las joyas de la corona.
• Autenticar: una vez que se han obtenido las credenciales, el atacante puede moverse lateralmente con más libertad. Esto se puede hacer utilizando herramientas como PowerShell, Server Message Block (SMB) y escritorio remoto.
• Establecer control: el acceso no es suficiente. A continuación, los atacantes intentarán establecer el control. Esto generalmente se logra utilizando una suite de herramientas de piratería.
• Asegurar el sigilo: para evitar la detección, los atacantes utilizarán herramientas nativas y comúnmente utilizadas y “vivirán de la tierra”. Este punto es fundamental para comprender, especialmente cuando se trata de la importancia de ser consciente y escanear constantemente la comunicación interna. De hecho, según una investigación de IBM, se tarda 280 días en identificar y contener una violación de datos. Eso significa que, en promedio, los atacantes pasan la mayor parte de un año dentro de una organización, sin ser detectados. Observando. Escuchando.

En un caso reciente, un grupo de espionaje conocido como Palmerworm atacó y obtuvo acceso a múltiples organizaciones. Se movieron lateralmente dentro de estas empresas, a menudo manteniendo una presencia en redes comprometidas durante más de un año, sin ser detectados, por supuesto. Utilizando muchas de las tácticas descritas anteriormente, accedieron y robaron información confidencial de empresas en Estados Unidos, Japón, Taiwán y China.

Desafortunadamente, hoy en día la mayoría de las soluciones de seguridad de correo electrónico no escanean los correos electrónicos internos. De hecho, ninguna solución tradicional de Gateway de Correo Electrónico Seguro (SEG) escanea el tráfico de correo electrónico interno, dejándote expuesto. Incluso las soluciones más nuevas, que escanean estos correos electrónicos, utilizan las mismas técnicas de detección que utilizan para los correos electrónicos que provienen del exterior. Esto es ineficaz ya que el perfil de estos ataques es completamente diferente. En resumen, esto deja un agujero gigante en la postura de ciberseguridad de una empresa. Como profesional de ciberseguridad o TI, debes ser consciente de los riesgos y asegurarte de que la solución de seguridad de correo electrónico que estás utilizando escanea también las comunicaciones internas, y lo hace de manera efectiva. Cuando el correo electrónico del director financiero es pirateado, o se produce una violación de datos que sale en los titulares, a nadie le importará si comenzó con un becario haciendo clic en el botón equivocado.

Agradecimientos a Liron Barak, cofundador y CEO de BitDam. Para obtener más información sobre los riesgos del movimiento lateral y la ciberseguridad, consulta nuestra Guía del Comprador de SIEM o nuestra Guía del Comprador de SOAR.