Reconocer y comprender el movimiento lateral.

27 Abril 2024
| No hay comentarios
Noticias cortas de seguridad cibernética B2B

Compartir publicación

Los actores de amenazas obtienen acceso a una aplicación de la empresa mediante phishing o explotando vulnerabilidades no parcheadas, asumen la identidad de un usuario legítimo y utilizan movimientos laterales para penetrar cada vez más profundamente en varias partes de la red.

Allí pueden exfiltrar datos, paralizar y manipular sistemas y bases de datos o llevar a cabo otros ataques. Los actores de amenazas no atacan directamente, sino que intentan operar en segundo plano durante el mayor tiempo posible sin ser detectados. El objetivo de la mayoría de los ciberdelincuentes es robar o cifrar datos para extorsionar el dinero del rescate, es decir, ataques de ransomware. Cuanto más tiempo pasen los atacantes desapercibidos en las redes de sus víctimas, más datos, información y derechos de acceso podrán obtener y mayor será el daño potencial. Un enfoque popular es el encadenamiento de vulnerabilidades, es decir, el encadenamiento de varias vulnerabilidades. En su Informe de amenazas de Labs, Arctic Wolf ha resumido las vulnerabilidades explotadas con más frecuencia que las empresas deben conocer y parchear. Se utilizan diferentes técnicas para el movimiento lateral:

  • Explotación de servicios remotos
  • Phishing interno
  • Transferencia lateral de herramientas
  • Secuestro remoto
  • Protocolo de escritorio remoto
  • Inicio de sesión del servicio en la nube
  • Token de acceso a la aplicación

El tiempo hasta que se produce el movimiento lateral se denomina "tiempo de ruptura". Si se puede detener un ataque dentro de este período de tiempo, los costos, los daños y las posibles interrupciones comerciales o el tiempo de inactividad se pueden reducir significativamente o evitar por completo.

Detectar y detener el movimiento lateral

  • Monitoreo del entorno de TI Tiempo real: Soluciones de monitorización modernas, como B. Detección y respuesta administradas (MDR), puede incluir actividades inusuales (por ejemplo, un usuario que inicia sesión en una aplicación en la que normalmente no inicia sesión), cambios de reglas dentro de las aplicaciones o actividad repentina de un solo usuario dentro de la infraestructura de TI reconocida. Las empresas pueden monitorear estas actividades y compararlas con las técnicas anteriores y los patrones de comportamiento correspondientes para detectar casos de movimiento lateral temprano y detener a los atacantes que se mueven sin autorización en el entorno de TI.
  • Análisis de comportamiento: Debido a que muchos TTP contienen herramientas ampliamente accesibles y cuentas de usuario comprometidas, se necesita un análisis de comportamiento avanzado para identificar de manera confiable anomalías e intenciones maliciosas.

Detectar y detener el movimiento lateral no es fácil. Pero precisamente porque los ciberdelincuentes pueden utilizar esta táctica para obtener acceso a capas profundas de TI, las medidas de protección contra estos ataques son un componente importante de la ciberseguridad. Pueden significar la diferencia entre un incidente de seguridad que es simplemente un intento de ataque que fue cortado de raíz desde el principio, o un hack exitoso que paraliza a las empresas o permite a los atacantes cifrar sistemas y datos y exigir rescates.

Más en ArcticWolf.com

 

Acerca del lobo ártico

Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.

 

Artículos relacionados con el tema

Reconocer y comprender el movimiento lateral.

Los actores de amenazas obtienen acceso a una aplicación de la empresa mediante phishing o explotando vulnerabilidades no parcheadas, haciéndose pasar por una legítima. ➡ Leer más

Investigador: dispositivo Cisco agrietado e instalado Doom en él 

El investigador de seguridad Aaron Thacker en realidad solo quería construir un servidor a partir de un dispositivo Cisco. Descubrió un punto débil en el ➡ Leer más

Cifrado de seguridad cuántica

Un proveedor de soluciones que amplían perfectamente la gestión de acceso privilegiado (PAM) ahora ofrece una protección eficaz contra amenazas ➡ Leer más

Kapeka, nuevo malware ruso descubierto

Los expertos en seguridad de WithSecure han expuesto a Kapeka. El nuevo malware parece tener vínculos con el grupo de hackers ruso Sandworm. Varios factores ➡ Leer más

Lancom LCOS con vulnerabilidad de contraseña de root 

Lancom y BSI informan de un error de configuración para el sistema operativo LCOS: una vulnerabilidad con el valor CVSS de 6.8 puede ➡ Leer más

Fuerte aumento del ransomware

Un proveedor líder de una plataforma de ciberseguridad basada en la nube e impulsada por IA ha publicado sus nuevas estadísticas de ciberataques y ransomware para el primer trimestre de 1. ➡ Leer más

Vulnerabilidades de XenServer y Citrix Hypervisor

Citrix advierte sobre dos vulnerabilidades en XenServer y Citrix Hypervisor. Las vulnerabilidades de seguridad son sólo moderadamente graves, pero aún queda una ➡ Leer más

Phishing exitoso: los atacantes atacan a los proveedores de servicios MFA para Cisco Duo 

Cisco llama a su plataforma de seguridad Zero Trust "Duo" para abreviar. Su acceso está protegido por autenticación multifactor (MFA) de última generación. A través de un ➡ Leer más

 

Noticias cortas
, , , ,