¿Cómo podemos protegernos contra el movimiento lateral?

Para aumentar las probabilidades de encontrar la ubicación o los datos claves, un hacker casi siempre recurrirá a estas técnicas de movimiento lateral. Limitar la distribución de cuentas privilegiadas y monitorizar el uso de credenciales privilegiadas en tiempo real es básico para empezar a detectar movimientos laterales dentro de la red. Los usuarios de la red deben tener cuentas y accesos escalonados según los criterios y las políticas marcadas por el administrador. Implementar una lista blanca para las aplicaciones, qué solo permita que las aplicaciones legítimas se ejecuten en la red y se registren todos los intentos de inicio de otras aplicaciones. La listas blancas de aplicaciones no son una solución infalible para la mitigación del adversario, pero pueden dificultar la actuación de los exploits y hacer que los hackers hagan más ruido, lo que aumenta las posibilidades de detección. Utiliza el doble factor de autentificación (2FA) La habilitación de 2FA en los sistemas que lo admiten y especialmente en cualquier aplicación web con conexión a Internet puede ayudar a mejorar sus posibilidades de evitar el escalado de privilegios que permiten el movimiento lateral. Crear contraseñas seguras automatizadas y aumentar la protección de la cuenta. Además del 2FA, tu empresa puede beneficiarse de la capa adicional de seguridad que pueden proporcionar los protocolos de contraseña automatizados y las herramientas de administración de claves SSH. Las contraseñas únicas que utilizan estas herramientas eliminan una parte considerable de los ataques de fuerza bruta. Utilizar tecnologías tipo IDS para detectar una posible brecha de intrusión. Un sistema de detección de intrusos (IDS) conectado a la red detectará señales del escaneo de puertos para que nos envíe una alerta antes de que sea demasiado tarde. Utilizar servicios gestionados y detección de alerta tempranas. Utilizar servicios gestionados para responder ante amenazas, que incluyan nuevos sistemas de búsqueda, detección y respuesta frente a amenazas que combinen tecnología de machine learning con análisis de consultores expertos para neutralizar ataques complejos por diferentes vectores

Para protegernos contra el movimiento lateral, es esencial comprender que la detección y prevención de este tipo de amenazas son fundamentales para todas las empresas, independientemente de su tamaño o sector. No hay ninguna herramienta actual de seguridad que pueda ofrecer protección en tiempo real, lo que representa la vulnerabilidad más crítica en la arquitectura de seguridad de una organización. La capacidad de interceptar la autenticación donde el atacante proporciona las credenciales comprometidas a AD es crucial, pero Active Directory no tiene la capacidad de diferenciar entre una autenticación legítima y una maliciosa, solo puede validar o no las credenciales proporcionadas. El MFA puede ser capaz de resolver esto, por ejemplo, la plataforma de protección de identidad unificada Silverfort puede extender MFA a cualquier recurso, independientemente de si admite MFA de forma nativa o no. Esta herramienta opera sin agente y sin proxy, integrándose de manera directa con AD, logrando que cada vez que reciba una solicitud de acceso, dicha herramienta analice la solicitud y de ser necesario imponga al usuario una MFA. Además, Silverfort puede automatizar y crear políticas para cada cuenta de servicio de manera individual, logrando garantizar el bloqueo directo al momento de detectar una desviación, ya que las cuentas de servicio se caracterizan por tener un comportamiento ampliamente repetitivo y predecible en el tiempo. Esto puede ayudar a prevenir el movimiento lateral, especialmente en entornos donde las cuentas de servicio son un objetivo atractivo para los actores de amenazas. Es fundamental comprender estas prácticas de seguridad y aplicarlas para tratar de asegurar al 100% su entorno y el de su organización.

Protegernos contra este tipo de amenazas no es tan fácil, ya que suelen ser movimientos sigilosos que a simple vista podrían parecer normales, aun así, hay medidas que puedes aplicar para protegerte: Pruebas de penetración(Pentest). Estas pruebas nos ayudarán a saber si los movimientos laterales pueden realizarse en nuestra infraestructura y qué tan fácil sería, así mismo, nos dirán cuáles son los puntos más vulnerables y cómo podemos reforzarlos. Entender cómo funciona la red. Comprender la forma en que suceden este tipo de ataques puede ayudar a detectar los movimientos cuando suceden, lo que hace más fácil la respuesta ante incidentes. NIPS/NIDS. Este tipo de tecnologías normalmente se encuentran validando todo el tráfico que pasa por la red, por lo que ayudarán a la detección de este tipo de ataques. Es importante saber que el número de estos depende de la forma en que se encuentra estructurada la red. Señuelos. Se pueden colocar algunos dispositivos específicos que serán accesibles de forma más fácil para el atacante, y que ayudarán a detectar cuando exista algún intento de vulneración, facilitando descubrir cuando hay un intruso y su comportamiento. Monitoreo constante. El monitoreo es una parte esencial cuando queremos detectar alguna actividad sospechosa en la red, por lo que validar que todo marche con normalidad es un trabajo primordial en la ciberseguridad. Existen otros controles o servicios que se podrían adicionar para la protección y prevención de ataques de movimiento lateral, como la caza de amenazas (Threat Hunting), control de accesos e identidades, doble factor de autenticación 2FA, IPS/IDS en los equipos, etc. Protegernos ante los ataques externos es importante, pero muchas veces olvidamos también que los ataques pueden provenir desde el interior de la empresa, ya sea por un trabajador malintencionado, o un atacante que ya se encuentra dentro.

Implementar Autenticación Multifactor (MFA): MFA añade una capa adicional de seguridad y dificulta el uso de credenciales robadas. Segregación de Redes: Dividir la red en segmentos y aplicar reglas estrictas de control de acceso para limitar el movimiento lateral. Actualización y Parches: Mantener todos los sistemas y software actualizados para mitigar la explotación de vulnerabilidades conocidas. Monitoreo y Detección: Implementar sistemas de detección de intrusiones (IDS) y soluciones de monitoreo continuo para identificar actividades sospechosas. Gestión de Credenciales: Utilizar soluciones de gestión de contraseñas y políticas de cambio regular de contraseñas para minimizar el riesgo de credential dumping y ataques PtH. Capacitación en Seguridad: Capacitar a los empleados sobre las mejores prácticas de seguridad y cómo reconocer técnicas de ingeniería social y otras tácticas utilizadas para obtener acceso inicial. Implementar medidas de seguridad proactivas y mantenerse informado sobre las últimas tácticas de ataque puede ayudar a mitigar los riesgos asociados con el movimiento lateral.