Hace solo unos pocos años, el movimiento lateral era una táctica limitada a las principales organizaciones de delitos cibernéticos APT y operadores de estados-nación. Hoy, sin embargo, se ha convertido en una herramienta mercantilizada, dentro del conjunto de habilidades de cualquier actor de amenazas de ransomware. Esto hace que la detección y prevención en tiempo real del movimiento lateral sea una necesidad para organizaciones de todos los tamaños y en todas las industrias. Pero la inquietante verdad es que en realidad no existe ninguna herramienta en la pila de seguridad actual que pueda proporcionar esta protección en tiempo real, creando lo que posiblemente sea la debilidad de seguridad más crítica en la arquitectura de seguridad de una organización.
En este artículo, analizaremos las preguntas más esenciales sobre el desafío de la protección del movimiento lateral, comprenderemos por qué la autenticación multifactor (MFA) y la protección de la cuenta de servicio son las brechas que lo hacen posible, y aprenderemos cómo la plataforma de Silverfort le da la vuelta a los atacantes. y hace que la protección del movimiento lateral finalmente esté al alcance.
Próximo seminario web: Si está interesado en aprender más sobre el movimiento lateral y cómo prevenirlo en tiempo real, lo invitamos a Regístrese para nuestro próximo seminario web. Los expertos de la industria compartirán información valiosa sobre el tema y responderán cualquier pregunta que pueda tener.
¿Listo? Vamos a empezar.
¿Por qué el movimiento lateral es un riesgo crítico para una organización?
El movimiento lateral es la etapa en la que el compromiso de un punto final único se convierte en el compromiso de estaciones de trabajo y servidores adicionales en el entorno de destino. Es la diferencia entre una sola máquina cifrada y un posible cierre operativo. El movimiento lateral se utiliza en más del 80 % de los ataques de ransomware, lo que lo convierte en un riesgo para todas las organizaciones del mundo que estén dispuestas a pagar para recuperar sus datos de los atacantes.
Entonces, ¿cómo funciona realmente el movimiento lateral?
En realidad es bastante simple. A diferencia del malware, que se presenta en muchas formas diferentes, el proceso de movimiento lateral es sencillo. En un entorno organizacional, cada usuario que inicia sesión en una estación de trabajo o un servidor puede acceder a máquinas adicionales dentro de ese entorno abriendo un indicador de línea de comandos y escribiendo un comando de conexión, junto con su nombre de usuario y contraseña. Esto significa que todo lo que un adversario tiene que hacer para moverse lateralmente es conseguir un nombre de usuario y una contraseña válidos. Una vez obtenidas, el atacante puede usar estas credenciales comprometidas para acceder a los recursos como si fuera un usuario legítimo.
Suena simple, entonces, ¿por qué es difícil de prevenir?
Tan sorprendente como suena, en realidad, no hay ninguna herramienta en la pila de identidad o seguridad que pueda detectar y prevenir el movimiento lateral en tiempo real. Esto se debe a que lo que se requiere es la capacidad de interceptar la autenticación en sí misma, donde el atacante proporciona las credenciales comprometidas a Active Directory (AD). Desafortunadamente, AD, como esencialmente una pieza de software heredada, solo es capaz de realizar una única verificación de seguridad: si el nombre de usuario y la contraseña coinciden. Si lo hacen, se concede el acceso; si no, se deniega el acceso. AD no tiene la capacidad de diferenciar entre una autenticación legítima y una maliciosa, solo la capacidad de validar las credenciales proporcionadas.
Pero, ¿no debería MFA ser capaz de resolver esto?
En teoria. Pero aquí está el problema: ¿Recuerda la ventana de línea de comandos mencionada anteriormente sobre cómo se ejecuta el movimiento lateral? Adivina qué. El acceso desde la línea de comandos se basa en dos protocolos de autenticación (NTLM y Kerberos) que en realidad no admiten MFA. Estos protocolos se escribieron mucho antes de que MFA existiera. Y por «no compatible», lo que queremos decir aquí es que no puede agregar al proceso de autenticación una etapa adicional que diga «estas credenciales son válidas, pero esperemos hasta que el usuario verifique su identidad». Es esta falta de protección MFA en el entorno de AD, un punto ciego clave, lo que permite que los ataques de movimiento lateral sigan ocurriendo.
En este punto, quizás se pregunte por qué en 2023 seguimos usando tecnología de hace más de 20 años que no es compatible con una medida de seguridad básica como MFA. Tiene razón al hacer esta pregunta, pero por el momento, lo que es más importante es el hecho de que esta es la realidad en casi el 100 % de los entornos, incluido el suyo. Por eso es fundamental comprender estas implicaciones de seguridad.
Crear políticas de MFA de fácil implementación para todas sus cuentas privilegiadas es la única forma de garantizar que no se vean comprometidas. Sin necesidad de personalizaciones o dependencias de segmentación de red, puede estar en funcionamiento en cuestión de minutos con Silverfort. Descubra cómo proteger sus cuentas privilegiadas de compromisos de forma rápida y sin inconvenientes con políticas de acceso adaptables que imponen la protección MFA en todos los recursos locales y en la nube en la actualidad.
No olvidemos las cuentas de servicio: invisibles, altamente privilegiadas y casi imposibles de proteger
Para agregar otra dimensión al desafío de la protección contra el movimiento lateral, tenga en cuenta que no todas las cuentas son iguales. Algunos de ellos son materialmente más susceptibles al ataque que otros. Las cuentas de servicio, utilizadas para el acceso de máquina a máquina, son un buen ejemplo. Estas cuentas no están asociadas con ningún usuario humano, por lo que son menos monitoreadas y, a veces, incluso olvidadas por el equipo de TI. Pero por lo general tienen altos privilegios de acceso y pueden acceder a la mayoría de las máquinas del entorno. Esto los convierte en un objetivo de compromiso atractivo para los actores de amenazas, que los utilizan siempre que pueden. Esta falta de visibilidad y protección de las cuentas de servicio es el segundo punto ciego en el que confían los actores del movimiento lateral..
Silverfort hace posible la protección en tiempo real contra el movimiento lateral
Fuerte de plata es pionera en la primera plataforma de protección de identidad unificada que puede extender MFA a cualquier recurso, independientemente de si admite MFA de forma nativa o no. Utilizando una tecnología sin agente y sin proxy, Silverfort se integra directamente con AD. Con esta integración, cada vez que AD recibe una solicitud de acceso, la reenvía a Silverfort. Silverfort luego analiza la solicitud de acceso y, si es necesario, desafía al usuario con MFA. Según la respuesta del usuario, Silverfort determina si confiar o no en el usuario y pasa el veredicto a AD, que luego otorga o niega el acceso según sea necesario.
Previniendo el movimiento lateral en la raíz #1: Extendiendo MFA al acceso de línea de comando
Silverfort puede aplicar la protección MFA a cualquier herramienta de acceso a la línea de comandos: PsExec, Remote PowerShell, WMI y cualquier otra. Con una política de MFA habilitada, si un atacante intenta realizar un movimiento lateral a través de la línea de comandos, Silverfort enviará un mensaje de MFA al usuario real, pidiéndole que verifique si ha iniciado ese intento de acceso. Cuando el usuario niega esto, se bloquea el acceso, lo que deja al atacante confundido sobre por qué un método que funcionó sin problemas en el pasado ahora se topa con una pared de ladrillos.
Prevenir el movimiento lateral en la raíz #2: Visibilidad automatizada y protección de cuentas de servicio
Si bien las cuentas de servicio no pueden estar sujetas a la protección MFA (como usuarios no humanos, no pueden confirmar su identidad con una notificación de teléfono celular), aún pueden estar protegidas. Esto se debe a que las cuentas de servicio (a diferencia de los usuarios humanos) muestran un comportamiento altamente repetitivo y predecible. Silverfort aprovecha esto al automatizar la creación de políticas para cada cuenta de servicio. Cuando se activan, pueden enviar una alerta o bloquear el acceso a la cuenta de servicio por completo siempre que se detecte una actividad estándar de desviación. El uso malicioso de una cuenta de servicio comprometida inevitablemente crea una desviación porque incluso si el atacante tiene las credenciales de la cuenta de servicio, no conocería el uso estándar de la cuenta. El resultado sería que cualquier intento de utilizar una cuenta de servicio comprometida para el movimiento lateral se detendría en seco.
¿Considera que el movimiento lateral es un riesgo que debe abordar? programar una llamada con uno de nuestros expertos.