Movimientos laterales: mejores prácticas para proteger tu red

El movimiento lateral y el robo de credenciales están presentes en casi todos los intentos de ataques desde los últimos 10 años; es básico para las organizaciones priorizar la respuesta y alerta temprana frente a este tipo de técnicas.

¿Qué es el movimiento lateral?

Los movimientos laterales son técnicas de ataques de hackers informáticos que son utilizadas para propagarse a través de una red buscando assets e información clave. Para aumentar las probabilidades de encontrar la ubicación o los datos claves, un hacker casi siempre recurrirá a estas técnicas de movimiento lateral.

La mayoría de estas técnicas se basan en el uso de credenciales privilegiadas y técnicas que imitan lo que hacen los administradores de dominio de Windows todos los días; esto es precisamente lo que hace que la detección sea tan difícil para la mayoría de las organizaciones, suponiendo que las herramientas antimalware no puedan detectar el conjunto de herramientas maliciosas.

Acciones a realizar para su mitigación

1. Aplicar el principio de privilegio mínimo.

Limitar la distribución de cuentas privilegiadas y monitorizar el uso de credenciales privilegiadas en tiempo real es básico para empezar a detectar movimientos laterales dentro de la red. Los usuarios de la red deben tener cuentas y accesos escalonados según los criterios y las políticas marcadas por el administrador.

2. Implementar una lista blanca para las aplicaciones.

Qué solo permita que las aplicaciones legítimas se ejecuten en la red y se registren todos los intentos de inicio de otras aplicaciones. La listas blancas de aplicaciones no son una solución infalible para la mitigación del adversario, pero pueden dificultar la actuación de los exploits y hacer que los hackers hagan más ruido, lo que aumenta las posibilidades de detección.

3. Utiliza el doble factor de autentificación (2FA)

Es preocupante la cantidad de sistemas que hoy en día todavía usan autenticación de factor único para administrar el acceso a la cuenta y a la red. La habilitación de 2FA en los sistemas que lo admiten y especialmente en cualquier aplicación web con conexión a Internet puede ayudar a mejorar sus posibilidades de evitar el escalado de privilegios que permiten el movimiento lateral.

4. Crear contraseñas seguras automatizadas y aumentar la protección de la cuenta.

Además del 2FA, tu empresa puede beneficiarse de la capa adicional de seguridad que pueden proporcionar los protocolos de contraseña automatizados y las herramientas de administración de claves SSH. Las contraseñas únicas que utilizan estas herramientas eliminan una parte considerable de los ataques de fuerza bruta.

5. Utilizar tecnologías tipo IDS para detectar una posible brecha de intrusión. 

Una vulnerabilidad considerable para los Hackers informáticos es aprovechar el escaneo de puertos para determinar su ubicación. Un sistema de detección de intrusos (IDS) conectado a la red detectará señales del escaneo de puertos para que nos envíe una alerta antes de que sea demasiado tarde.

6. Utilizar servicios gestionados y detección de alerta tempranas.

Utilizar servicios gestionados para responder ante amenazas, que incluyan nuevos sistemas de búsqueda, detección y respuesta frente a amenazas que combinen tecnología de machine learning con análisis de consultores expertos para neutralizar ataques complejos por diferentes vectores