Obtener acceso a un solo sistema rara vez es el objetivo final de un atacante. Una vez dentro de una red, los atacantes casi siempre necesitarán salir de ese punto para mantener la persistencia, realizar reconocimientos y buscar formas de escalar sus privilegios. Buscarán credenciales para robarlas, archivos para infectarlos, vulnerabilidades que explotar y rutas de ataque que proporcionen acceso a sus objetivos finales.
El reciente ataque de ransomware a la entidad Colonial Pipeline involucró de manera significativa el movimiento lateral[1], lo que demuestra efectivamente la profundidad del problema. Ese ataque no fue un incidente aislado; casi todas las brechas importantes ahora implican el uso de dicha táctica, e impedirlo debe ser actualmente una de las principales prioridades de las organizaciones.
Movimiento lateral y el Directorio Activo
El movimiento lateral se aplica ampliamente a la actividad de un atacante dentro de la red después de penetrar las defensas del perímetro, utilizando diversas tácticas, técnicas y procedimientos (TTP). Las organizaciones de hoy deben comprender esas TTP y asegurarse de que sus controles sean efectivos en las superficies de ataque locales, remotas y en la nube. El marco ATT&CK[2], desarrollado por MITRE, juega un papel benéfico en el entendimiento de técnicas y tácticas de los atacantes, ya que proporciona una guía para identificar las brechas de seguridad y los controles que pueden usar para cubrirlas.
Es importante pensar en el papel que desempeñan tanto la protección de los puntos finales como la protección de identidades y cómo estas herramientas de seguridad funcionan juntas. El Directorio Activo (AD) suele ser copropiedad de varios departamentos, y la complejidad organizacional a menudo puede dejar esta aplicación crítica y altamente vulnerable sin la protección adecuada. La incorporación del AD en un programa de movimiento lateral debería ser una prioridad; después de todo, si los atacantes pueden comprometer el AD, es claro que se acabó el juego para el defensor.
Etapas del movimiento lateral
La primera etapa del movimiento lateral es el reconocimiento. Como su nombre lo indica, esta es la etapa en la que los atacantes exploran las áreas de la red a las que tienen acceso, identifican vulnerabilidades y buscan activos críticos. Esta actividad ayuda a los atacantes a comprender los datos de la organización, como las convenciones de nomenclatura de host y las jerarquías de red, y les ayuda a localizar información y sistemas valiosos.
Los atacantes suelen utilizar herramientas como Netstat, net y PowerShell para conocer el terreno dentro de la red y determinar sus defensas. Estas herramientas pueden ser complicadas de detectar para los defensores y, a menudo, son denominadas como ataques o herramientas “Living off the Land (LotL)”. Algunos otros ciber actores emplean herramientas como AdFind o Bloodhound para el mismo propósito. El reconocimiento eficaz ayuda a los atacantes a planificar mejor sus movimientos.
La siguiente etapa implica el uso indebido de credenciales. Las credenciales válidas son oro molido para los atacantes. El Informe de Investigaciones de Brechas de Datos de Verizon (DBIR) de 2021 encontró que 61% de todas estas infracciones ahora involucran datos de credenciales, como credenciales robadas o filtradas. Las tácticas de ingeniería social como el phishing y los ataques de compromiso de correo electrónico empresarial (BEC) son tácticas típicas que utilizan los atacantes para obtener de forma encubierta credenciales válidas, aunque están lejos de ser los únicos métodos. El uso de credenciales válidas es una excelente manera para que los atacantes se muevan dentro de la red sin activar ninguna alarma.
Luego viene la escalación de privilegios. Los atacantes quieren explotar el AD mediante el descubrimiento de sus recursos en la red y obtener privilegios que les permitan cambiar los controles de seguridad y permanecer ocultos. En última instancia, los atacantes quieren escalar sus privilegios al estado de administrador, lo que generalmente significa comprometer el AD. Si el atacante puede comprometer el servicio de directorio empresarial, esencialmente tiene las llaves del reino y, por ende, es difícil eliminarlas de la red.
Suponga que un atacante ha podido realizar un reconocimiento, obtener acceso a las credenciales y escalar sus privilegios. En ese caso, es probable que repitan el proceso en varios hosts hasta que encuentren lo que buscan: datos de usuario, información financiera, propiedad intelectual u otros activos. Sin una sólida seguridad en la red, los atacantes pueden buscar datos valiosos de forma indefinida. Detener este comportamiento es posible, y se vuelve más manejable cuando las organizaciones utilizan la “detección basada en técnicas” en lugar de depender únicamente de patrones coincidentes o firmas de identificación.
Detección de movimiento lateral
El Directorio Activo es notoriamente difícil de proteger, y los “equipos rojos” en sus ejercicios de seguridad a menudo señalan que pueden comprometerlo en casi el 100% de las veces, lo que significa que los atacantes también pueden hacerlo.
Los incidentes recientes subrayan el hecho de que es imposible detener todos los ataques, por lo que es fundamental tener un plan para lo que sucede una vez que un atacante está dentro de la red. Las organizaciones deben visualizar posibles rutas de ataque y detectar credenciales, permisos y derechos expuestos y en riesgo porque los atacantes los aprovecharán. La visibilidad de las rutas de ataque también puede ayudar a los defensores a anticipar las acciones de los atacantes, lo cual les permite automatizar algunos aspectos de la defensa, por ejemplo, saber dónde hay credenciales almacenadas y a cuáles activos apuntan.
Un pequeño engaño puede ser de gran ayuda aquí. La detección de movimientos laterales no se trata solo de identificar y corregir vulnerabilidades; los defensores también pueden encubrir u ocultar credenciales reales, objetos del AD y los archivos que buscan los atacantes. Ocultar elementos de producción y enviar información falsa a las herramientas de ataque desvía a los atacantes de su objetivo original. Además, el engaño cibernético basado en credenciales falsas y otros activos señuelo diseñados para parecer auténticos, permite engañar a los atacantes para que interactúen con ellos y revelen su presencia. Una vez que un atacante se ha “enganchado” con dicha superficie falsa, los defensores están en condiciones de estudiar y recopilar información de forma segura sobre el atacante, que permanece felizmente inconsciente de que el entorno en el que se encuentra no es real.
Las técnicas de engaño a nivel del punto final son esenciales, ya que un atacante no caerá en una trampa de red por arte de magia. Usted puede tener una red inundada de trampas, pero le aseguro que el atacante conseguirá su objetivo con éxito sin tocar una sola de ellas.
Esta táctica es especialmente valiosa cuando se trata de proteger el AD. La gestión de bitácoras y eventos mediante herramientas SIEM proporciona información incompleta y representa un enfoque reactivo de la seguridad en lugar de uno proactivo en estos escenarios. Ocultar objetos críticos del AD, como cuentas privilegiadas, controladores de dominio y cuentas de administrador local es factible que evite que los atacantes extraigan la información necesaria para elevar sus privilegios y escalar en sus ataques.
Las alertas efectivas sobre consultas no autorizadas o sospechosas al AD pueden generar alertas en el punto de observación del atacante, lo que mitigará el progreso que puedan conseguir y el daño que pueden causar, además de fortalecer una estrategia de “cero confianza” en la que se limite el acceso solo a aplicaciones confiables o validadas para datos específicos dentro del contexto del usuario.
Foco en el movimiento lateral
La detección del movimiento lateral sigue siendo un área de seguridad crítica pero desatendida. El mensaje de que las organizaciones deban cambiar su enfoque de la protección perimetral hacia las defensas dentro de la red no es nuevo, y por ende es fundamental que sean capaces de prevenir y detectar estos movimientos de manera temprana.
Es esencial comprender que el movimiento lateral no es solo una fase dentro de una intrusión; y para una protección integral, los defensores necesitan incluir la capacidad de detectar el uso indebido de credenciales y los ataques al AD. Un programa de seguridad sin detección dentro de la red es como una casa sin vigas para el soporte de sus interiores; puede parecer estable desde el exterior, pero tarde o temprano, es probable que se derrumbe.
[1] https://www.zdnet.com/article/ransomware-survive-by-outrunning-the-guy-next-to-you/?ref=hackernoon.com
Sin duda, la protección del Directorio Activo en las fases tempranas de un ataque es fundamental en una estrategia de seguridad en todas las empresas.