Detección del desplazamiento lateral – Descifrar las ciberamenazas con MITRE ATT&CK y la supervisión proactiva
23andMe es una empresa de biotecnología y genómica con sede en Sunnyvale, California, y es conocida por sus kits de pruebas genéticas dirigidos directamente al consumidor. Según una entrada de blog publicada en su sitio web el 6 de octubre de 2023, la empresa reconoció haber sido víctima de un ataque de robo de credenciales en su sitio web. Este ciberataque consistió en el uso de credenciales de inicio de sesión robadas para permitir el acceso no autorizado a los datos personales de numerosos usuarios sin comprometer directamente la base de datos de 23andMe. Un aspecto notable de esta brecha fue el aprovechamiento de una funcionalidad que permitía a los usuarios compartir su información genética con sus familiares. Esto permitió a los atacantes desplazarse lateralmente a través de cuentas conectadas en los árboles genealógicos genéticos de los usuarios, lo que amplificó enormemente el impacto de la brecha.
Qué es un ataque de desplazamiento lateral
Aunque no es un verdadero ejemplo de ataque de desplazamiento lateral, el ejemplo de 23andMe demuestra cómo los atacantes pueden desplazarse lateral u horizontalmente de un sistema comprometido a otro. El desplazamiento lateral se basa en el tráfico “este/oeste”, que normalmente es considerado como rutinario dentro de una red. Los usuarios pueden realizar tareas tales como consultar el correo electrónico, acceder a aplicaciones basadas en la nube y examinar los recursos internamente. Esto difiere del tráfico “norte/sur”, que viaja dentro y fuera de la red y está sujeto a herramientas de detección de firewall y dispositivos.
Las técnicas de desplazamiento lateral pueden variar, pero normalmente implican el aprovechamiento de vulnerabilidades o puntos débiles en la configuración de una red, sistema o aplicación para obtener acceso no autorizado a recursos adicionales. Los actores de amenazas pueden utilizar credenciales comprometidas, recurrir a programas maliciosos como gusanos y herramientas de acceso remoto o aprovecharse de errores de configuración para desplazarse sigilosamente por la red, dificultando a los responsables de la defensa la detección y mitigación de sus actividades. Este desplazamiento lateral permite a un atacante realizar un reconocimiento y buscar privilegios de nivel superior o acceso a datos sensibles. Se sabe que los atacantes se desplazan lateralmente por la red de una víctima durante días, semanas o incluso meses.
Por qué es difícil detectar los ataques de desplazamiento lateral
Detectar los desplazamientos laterales en un ataque es una tarea complicada ya que, cuando los atacantes poseen credenciales válidas, suelen simular acciones legítimas. Esta táctica, conocida como “living off the land” (literalmente, “vivir de la tierra”), permite a los atacantes hacerse pasar por usuarios reales. Imaginemos que un atacante se hace con el control de una cuenta en una red social y navega por los perfiles, grupos y contenidos vinculados a ella. ¿Cómo hace el proveedor de la red social para discernir si sus acciones son legítimas? Incluso con los sistemas de registro y supervisión activos, estos comportamientos sospechosos pueden permanecer ocultos entre la avalancha de alertas generadas por los numerosos sistemas de una red moderna.
La clave está en la detección precoz
La desafortunada realidad de que los desplazamientos laterales no autorizados son difíciles de detectar, es lo que los convierte en una de las tácticas preferidas entre los actores de amenazas. Se calcula que aproximadamente el 60% de los ataques incluyen desplazamientos laterales, lo que subraya la necesidad de desarrollar métodos de identificación eficaces. Debido a que son tan difíciles de distinguir, la detección temprana es clave. La detección temprana permite a las organizaciones intervenir de forma proactiva y mitigar una amenaza antes de que siga avanzando, reduciendo así el daño potencial y la interrupción causada por los ataques avanzados que emplean técnicas de desplazamiento lateral.
Herramientas básicas para frenar o limitar los desplazamientos laterales
No hay que preocuparse por algo que nunca va a suceder. Una forma de hacer esto es emplear medidas de seguridad adicionales como la autenticación multifactor (MFA) para blindar el acceso de los usuarios. Los atacantes necesitan credenciales válidas antes de poder desplazarse lateralmente por su infraestructura informática. La autenticación multifactor exige múltiples formas de autenticación, lo que frustra los ataques directos de robo de credenciales. Al implantar la MFA, las organizaciones pueden evitar el acceso no autorizado y mitigar el riesgo de desplazamiento lateral desde el principio.
También puede impedir que se produzcan desplazamientos laterales segmentando su red en particiones independientes mediante la microsegmentación. Esta segmentación de la red se realiza mediante estrictos controles de acceso que sólo permiten la comunicación autorizada entre segmentos o cargas de trabajo específicos. Este diseño ayuda a contener una brecha o un brote de malware y evita los desplazamientos laterales entre sistemas.
Supervisión y análisis avanzados en tiempo real
Mientras que las soluciones de supervisión tradicionales se limitan a reenviar un gran número de alertas y eventos de registro a un equipo centralizado, las soluciones de supervisión avanzadas de hoy en día utilizan herramientas y algoritmos sofisticados para detectar anomalías, como el acceso de un usuario a una aplicación poco común o cambios en las reglas de las aplicaciones. Pueden incorporar análisis de comportamiento y aprendizaje automático para establecer una línea de referencia de lo que se considera una conducta normal. Cualquier desviación de esta línea de referencia genera alertas para que los equipos de seguridad investiguen más a fondo. Mediante el escrutinio de patrones y anomalías, estas soluciones son capaces de identificar actividades sospechosas como accesos no autorizados, escaladas de privilegios o transferencias de datos inusuales que podrían indicar la existencia de un desplazamiento lateral.
Aunque es posible que muchas PYME no dispongan de los recursos necesarios para adquirir soluciones avanzadas de ciberseguridad y no cuenten con el personal necesario, cada vez recurren más a los Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés). Los SOC como CYREBRO no sólo integran estas herramientas avanzadas, sino que además emplean personal especializado con la experiencia necesaria para interpretar y responder a las alertas de seguridad de forma eficaz. Los analistas de CYREBRO utilizan herramientas de supervisión inteligentes para proteger la continuidad de las empresas las 24 horas del día, los 7 días de la semana.
Utilización del marco MITRE ATT&CK
El marco MITRE ATT&CK proporciona un catálogo completo de técnicas y tácticas conocidas de los adversarios que ofrece a las organizaciones una forma de mantenerse informadas sobre las últimas estrategias de ataque y desplazamiento lateral empleadas por los actores de amenazas. Este marco puede incorporarse a las evaluaciones de riesgos con el fin de evaluar la postura de seguridad propia frente a las tácticas de desplazamiento lateral y los planes de respuesta a incidentes para acelerar los esfuerzos de mitigación. Adaptar sus controles y medidas de seguridad a las tácticas y técnicas documentadas de ATT&CK permite a su negocio digital prepararse de forma proactiva para los inevitables desafíos, un enfoque estratégico adoptado por CYREBRO.
Conclusión
Detectar los desplazamientos laterales es un reto importante para las empresas que se esfuerzan por fortalecer sus defensas digitales, pero como los autores de amenazas emplean esta táctica de forma persistente, es inevitable acabar enfrentándose a ella. Al final, a usted no le importa si un ataque es horizontal o vertical, lo único que quiere es proteger los sistemas y los datos frente a las amenazas y los programas maliciosos. Confiar su ciberseguridad a un SOC experimentado reduce la necesidad de preocuparse por la dirección de un ataque. Al igual que la detección precoz del cáncer, la identificación a tiempo es crucial, y a través de la supervisión continua y la integración de marcos como MITRE ATT&CK, se puede lograr este objetivo.