Blog
icono visualizar

Movimiento lateral en la red, ¿estamos preparados?

Bajo el contexto de incidentes de seguridad, violaciones o brechas de datos o el ciclo de vida de los ciberataques, el entendimiento del concepto del “movimiento lateral” se vuelve un tema fundamental. 

Varios ataques dirigidos de alto perfil han utilizado esta técnica y el robo de credenciales como una forma de penetrar organizaciones, persistir y buscar datos críticos sensibles para ocasionar severos daños a nivel operativo y financiero, afectando incluso el prestigio de las empresas.


¿Pero qué es el movimiento lateral?

Cuando un ciberdelincuente pone la mira sobre una organización específica, típicamente prepara su entrada mediante malware o campañas de spear phishing, y cuyo objetivo inicial no es extraer la mayor cantidad de información sensible, sino establecer un punto de entrada a la red. 

Cuando se compromete al menos a un equipo, este se convierte en un “pivote” para comenzar el movimiento lateral. Puede ejecutarse un solo paso lateral o cientos de ellos para llegar al objetivo perseguido, ya sea la información crítica sensible o controlar un sistema foco, y para esto muchas veces los crackers (hackers de sombrero negro) buscan credenciales de personas clave para moverse en la red “legítimamente”.

El movimiento lateral es parte de una de las etapas que utiliza un hacker ético y cracker en un ataque dirigido, que típicamente son; la recolección de información y escaneo, acceso y escalamiento de privilegios, exfiltración, sostenimiento, asalto y ofuscación.

Hoy en día, el oficial de seguridad de la información (CISO) y aún la mesa directiva en las organizaciones deben afrontar dos preguntas críticas:

Pero, ¿qué tan rápido pueden detectar ciberamenazas que ya viven dentro de su red? ¿Qué tan rápido pueden responder para contenerse y/o remediarlas?

Y es que el último reporte de tendencias en 2018 de Mandiant pone de manifiesto que 101 días es el promedio del tiempo de permanencia (dwell time) desde que un atacante compromete activos hasta que es descubierto. 

Adicional, Verizon remarca en su reporte DBIR de 2018 que, de 53,308 incidentes de seguridad en 65 países, el 68% de las brechas de datos tardaron meses o más en descubrirse, a pesar de que los compromisos toman sólo minutos o menos, y sólo el 3% son detectados rápidamente. ¡Cifras inaceptables para los tomadores de decisiones!

¿Cómo manejar esta técnica sigilosa?

El deception o “uso del engaño” es uno de los enfoques tecnológicos en adopción por las organizaciones que precisamente proporciona esa visibilidad en la red de manera rápida, con baja fricción de implementación respecto de otros mecanismos, bajo en falsos positivos y en cantidad de eventos generados. 

El analista Gartner listó al Deception (junto a tecnologías UEBA y EPP+EDR) como una de las estrategias tecnológicas para la detección y respuesta de amenazas y dentro de los 10 proyectos prioritarios de los CISO en 2018, como contribuidores a reducir el riesgo y tener un gran impacto en el negocio.

El enfoque es simple, consiste en extender la superficie hacia el atacante mediante 2 conceptos conocidos: trampas y señuelos; que permitirán identificar de manera temprana a los atacantes durante una brecha en progreso o desde los primeros síntomas de reconocimiento de estos. 

Esta red de “activos falsos” se vuelve en un campo minado para el atacante, que a la vez permite entender sus tácticas, técnicas y procedimientos durante la intrusión y que, por ende, permita adaptar los controles preventivos existentes para una futura brecha. 

Un beneficio sustancial del Deception es que es eficaz ante adversarios externos, internos y proveedores; esto último toma gran valor si a la organización le preocupan los ataques a la cadena de suministro.


Mejorando la detección y respuesta ante los ataques cibernéticos dirigidos

Vivimos en una generación con amenazas avanzadas y requerimos tecnología de punta para defendernos y mitigar los riesgos cibernéticos, por lo que un Sistema de Inteligencia Avanzada de Deception es una herramienta que no debe faltar en las organizaciones para complementar su estrategia de ciberseguridad efectiva, con una defensa activa y respuesta acelerada a incidentes.

¿Qué características y funcionalidades debe tener la solución?

Escalable en todos los entornos y de fácil despliegue, con un amplio ecosistema de integración de socios nativos que aceleren la respuesta a incidentes.

Uso de alta interacción; desplegando sistemas operativos reales como factor clave para la estrategia de engaño auténtica.


Detección en tiempo real y análisis de las amenazas dentro de la red, captando el robo de credenciales, el esparcimiento lateral de programas maliciosos, ransomware y de ataques dirigidos dentro de redes de usuarios, centros de datos, nube, entornos IOT y SCADA.

Alertas fundamentadas, evaluación de vulnerabilidades de las rutas de ataque, análisis detallado e informes forenses y reproducción de ataques transcurridos en el tiempo para fortalecer las defensas generales.

Gartner predijo que en 2018, el 10% de las empresas usarían estas herramientas y tácticas de engaño, además de que participarían activamente en operaciones de engaño contra atacantes, mejorando la detección y respuesta. 

Dicha tendencia seguirá evolucionando junto a TI y generando inversiones de 3 billones de dólares en los próximos años, según FBR Capital Markets. Una solución estratégica ideal para una ciberdefensa efectiva integral.

Entonces.... ¿estás preparado?

Yosif Sleman

Compartir
facebook icon
linkedin icontwitter icon

Suscríbete para recibir más contenido

Blogs relacionados

open icon