Hace solo unos pocos años, el uso del movimiento lateral era una estrategia limitada a las principales organizaciones de ciberdelincuencia de APT y a los operadores de estados-nación. Sin embargo, hoy en día se ha generalizado como una técnica que cualquier actor de amenazas de ransomware puede utilizar. Esto significa que la detección y prevención del movimiento lateral son esenciales para todas las empresas, independientemente de su tamaño o sector. No obstante, lo preocupante es que no hay ninguna herramienta actual de seguridad que pueda ofrecer protección en tiempo real, lo que representa la vulnerabilidad más crítica en la arquitectura de seguridad de una organización.
Funcionamiento
En un entorno organizacional, cada persona cuenta con un usuario y contraseña para operar en una estación de trabajo y así tener acceso a diversas máquinas dentro del entorno. Esto significa que cualquier intruso que obtenga las credenciales de un individuo puede desplazarse lateralmente y acceder a la red permaneciendo en ella de manera ilícita, como si fuera un usuario legítimo, y así extraer datos altamente confidenciales. Esto deja en evidencia lo complejo de detectar y prevenir el movimiento lateral en tiempo real, ya que, en realidad, no existe ninguna herramienta de seguridad que pueda repeler este tipo de ataque. Esto se debe a que lo que se precisa en sí, es la capacidad de interceptar la autenticación donde el atacante proporciona las credenciales comprometidas a AD (Active Directory), que es una base de datos y conjunto de servicios que conecta a los usuarios con los recursos de la red para realizar un trabajo, accediendo así a información crítica del entorno. Active Directory no tiene la capacidad de diferenciar entre una autenticación legítima y una maliciosa, solo puede validar o no las credenciales proporcionadas.
Puntos Ciegos
En base a lo expuesto anteriormente es que surge de interpelar. ¿Puede el MFA (Autenticación Multifactor) ser capaz de resolver esto? Analicemos la respuesta. Cuando un intruso accede al entorno con credenciales comprometidas, una vez dentro de él, puede abrir una ventana de línea de comandos y escribir un comando de conexión con otras máquinas. El acceso desde la línea de comandos se basa en dos protocolos de autenticación: NTLM y Kerberos, donde NTLM es un protocolo de inicio de sesión local en los controladores de dominio y Kerberos un protocolo de autenticación para entornos de AD. Ambos, en realidad, no admiten MFA por cuestiones básicas de incompatibilidad, ya que estos protocolos se escribieron mucho antes de que MFA existiera. Es, entonces, esta falta de protección en AD, el primer punto ciego clave que permite que los ataques de movimiento lateral sigan ocurriendo. Otra de las cuestiones, según detallan los especialistas de seguridad, son las conocidas cuentas de servicios, utilizadas ampliamente en la mayoría de las empresas. Por lo general, tienen altos privilegios de acceso y pueden ingresar a numerosas máquinas del entorno, pero al no estar asociadas a ningún usuario humano, son menos monitoreadas y hasta a veces olvidadas por el equipo de TI, por los que las convierten en un objetivo atractivo para los actores de amenazas, mostrándose así como el segundo punto ciego para las organizaciones.
Silverfort
Como una forma de llevar adelante un proceso claro de mitigación para este tipo de ataque, es que surge la primera plataforma de protección de identidad unificada que puede extender MFA a cualquier recurso, independientemente de si admite MFA de forma nativa o no. Esta herramienta, llamada “Silvefort” opera sin agente y sin proxy, integrándose de manera directa con (AD), logrando que cada vez que reciba una solicitud de acceso, dicha herramienta analice la solicitud y de ser necesario imponga al usuario una MFA.
Este método de protección se puede aplicar a cualquier herramienta de acceso a la línea de comandos, por lo que, ante cualquier intruso que quiera efectuar un movimiento lateral a través de ella, Silverfort enviará un mensaje de MFA al usuario real, pidiéndole que verifique si ha iniciado un intento de acceso, bloqueando dicha acción si la respuesta del usuario es negativa.
Respecto a las cuentas de servicio, como mencionamos anteriormente, no están asociadas a ningún usuario humano, motivo por el cual no pueden estar sujetas a protección MFA, ya que no pueden confirmar la identidad con una notificación de teléfono celular. Sin embargo, este tipo de cuentas se caracterizan por tener un comportamiento ampliamente repetitivo y predecible en el tiempo, por lo que Silvefort aprovecha esto para automatizar y crear políticas para cada cuenta de servicio de manera individual, logrando garantizar el bloqueo directo al momento de detectar una desviación. Normalmente, la ejecución de movimiento lateral a una cuenta de servicio comprometida inevitablemente genera desviaciones porque los actores de amenazas no conocen el uso habitual de la cuenta.
Según concluyen los especialistas, muchas organizaciones, incluso hoy, utilizan tecnologías arcaicas para la protección de la información que no son compatibles con medidas básicas como la MFA, por tal razón, es fundamental comprender estas prácticas de seguridad y aplicarlas para tratar de asegurar al 100% su entorno y el de su organización.
Fuente:
https://thehackernews.com/2023/05/wanted-dead-or-alive-real-time.html
Ciberprisma - alianza por la ciberseguridad 