Los actores de amenazas obtienen acceso a una aplicación de la empresa mediante phishing o explotando vulnerabilidades no parcheadas, asumen la identidad de un usuario legítimo y utilizan movimientos laterales para penetrar cada vez más profundamente en varias partes de la red.
Allí pueden exfiltrar datos, paralizar y manipular sistemas y bases de datos o llevar a cabo otros ataques. Los actores de amenazas no atacan directamente, sino que intentan operar en segundo plano durante el mayor tiempo posible sin ser detectados. El objetivo de la mayoría de los ciberdelincuentes es robar o cifrar datos para extorsionar el dinero del rescate, es decir, ataques de ransomware. Cuanto más tiempo pasen los atacantes desapercibidos en las redes de sus víctimas, más datos, información y derechos de acceso podrán obtener y mayor será el daño potencial. Un enfoque popular es el encadenamiento de vulnerabilidades, es decir, el encadenamiento de varias vulnerabilidades. En su Informe de amenazas de Labs, Arctic Wolf ha resumido las vulnerabilidades explotadas con más frecuencia que las empresas deben conocer y parchear. Se utilizan diferentes técnicas para el movimiento lateral:
- Explotación de servicios remotos
- Phishing interno
- Transferencia lateral de herramientas
- Secuestro remoto
- Protocolo de escritorio remoto
- Inicio de sesión del servicio en la nube
- Token de acceso a la aplicación
El tiempo hasta que se produce el movimiento lateral se denomina "tiempo de ruptura". Si se puede detener un ataque dentro de este período de tiempo, los costos, los daños y las posibles interrupciones comerciales o el tiempo de inactividad se pueden reducir significativamente o evitar por completo.
Detectar y detener el movimiento lateral
- Monitoreo del entorno de TI Tiempo real: Soluciones de monitorización modernas, como B. Detección y respuesta administradas (MDR), puede incluir actividades inusuales (por ejemplo, un usuario que inicia sesión en una aplicación en la que normalmente no inicia sesión), cambios de reglas dentro de las aplicaciones o actividad repentina de un solo usuario dentro de la infraestructura de TI reconocida. Las empresas pueden monitorear estas actividades y compararlas con las técnicas anteriores y los patrones de comportamiento correspondientes para detectar casos de movimiento lateral temprano y detener a los atacantes que se mueven sin autorización en el entorno de TI.
- Análisis de comportamiento: Debido a que muchos TTP contienen herramientas ampliamente accesibles y cuentas de usuario comprometidas, se necesita un análisis de comportamiento avanzado para identificar de manera confiable anomalías e intenciones maliciosas.
Detectar y detener el movimiento lateral no es fácil. Pero precisamente porque los ciberdelincuentes pueden utilizar esta táctica para obtener acceso a capas profundas de TI, las medidas de protección contra estos ataques son un componente importante de la ciberseguridad. Pueden significar la diferencia entre un incidente de seguridad que es simplemente un intento de ataque que fue cortado de raíz desde el principio, o un hack exitoso que paraliza a las empresas o permite a los atacantes cifrar sistemas y datos y exigir rescates.
Más en ArcticWolf.com
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.
Artículos relacionados con el tema