Fase 3 del Mitre ATT&CK: Movimiento Lateral

En el intrincado paisaje de la ciberseguridad, uno de los elementos críticos para directores, gerentes de IT y CTO es comprender y aplicar los principios de la matriz Mitre ATT&CK. Específicamente, la fase 3 de este enfoque - la Expansión - es fundamental para proteger la información vital y la propiedad intelectual en cualquier empresa. Aquí abordaremos elementos clave de esta fase como: la identificación de objetivos adicionales, el movimiento lateral, la escalada de privilegios y cómo abordar servicios débilmente protegidos.

Tabla de Contenido

• ¿Qué es Expansión?

• Movimiento y desplazamiento lateral: Cómo los atacantes se mueven.

• Escalada de privilegios.

• ¿Cómo Proteger tu Empresa de esta Fase?

• Ejemplos reales de la fase 3 del Mitre ATT&CK.

¿Qué es Expansión?

En el contexto del Mitre ATT&CK Framework, el término "expansión" se refiere a una de las fases del ciclo de vida de un ataque cibernético. Esta fase se centra en las técnicas utilizadas por los atacantes una vez que han logrado obtener acceso inicial a un sistema o red. Durante la fase de expansión, los ciberdelincuentes buscan moverse lateralmente, escalando privilegios y expandiendo su control sobre la infraestructura objetivo.

La expansión implica acciones como identificar objetivos adicionales, buscar cuentas con permisos elevados, buscar servicios débilmente protegidos, realizar movimientos laterales entre sistemas comprometidos, obtener acceso a aplicaciones web, escalada de privilegios y otras tácticas para aumentar su control y persistencia en el entorno comprometido. Esta fase tiene como objetivo final ampliar su alcance y obtener acceso a información valiosa o recursos críticos dentro de la red.

Movimiento y Desplazamiento Lateral: Cómo los atacantes se mueven

La identificación de objetivos adicionales y el movimiento lateral son conceptos estrechamente vinculados. Un atacante puede moverse lateralmente al obtener acceso a cuentas con permisos elevados, como un usuario administrador o un administrador en Windows, o comprometiendo los controladores de dominio.

El desplazamiento lateral, un subconjunto del movimiento lateral, es cuando un atacante se mueve de un punto de acceso inicial a otras áreas de la red utilizando las mismas credenciales robadas o escalando privilegios. Por ejemplo, si un atacante logra inicia sesión en un sistema operativo con credenciales robadas, puede intentar moverse lateralmente para comprometer aplicaciones web o servidores adyacentes débilmente protegidos.

Aquí te explicamos cómo los atacantes se mueven lateralmente:

1. Explotación de vulnerabilidades: Los atacantes pueden aprovechar vulnerabilidades en sistemas o aplicaciones para ganar acceso inicial. Una vez dentro, buscan identificar otros sistemas o cuentas con permisos elevados que puedan comprometer.
2. Uso de credenciales robadas: Si los atacantes han logrado obtener credenciales válidas, como nombres de usuario y contraseñas, pueden utilizarlas para autenticarse en otros sistemas dentro de la red. Esto les permite moverse lateralmente sin llamar la atención.
3. Uso de herramientas de administración remota: Los atacantes pueden utilizar herramientas de administración remota legítimas, como el Escritorio Remoto de Windows, para acceder a otros sistemas dentro de la red y controlarlos de manera remota.
4. Explotación de confianza entre sistemas: Algunos sistemas dentro de una red confían en otros para compartir información o recursos. Los atacantes pueden aprovechar esta confianza para moverse lateralmente desde un sistema comprometido a otro.
5. Utilización de técnicas de pivote: Los atacantes pueden utilizar sistemas comprometidos como "puntos de pivote" para acceder a otros sistemas o segmentos de red. Esto les permite evadir controles de seguridad y extender su presencia dentro de la infraestructura objetivo.
6. Explotación de debilidades en políticas de seguridad: Si existen políticas de seguridad deficientes, como permisos mal configurados o falta de segmentación de red, los atacantes pueden aprovechar estas debilidades para moverse lateralmente con mayor facilidad.

Para prevenir o detectar el movimiento y desplazamiento lateral, es importante implementar las siguientes medidas de seguridad:

1. Segmentación de red: Dividir la red en segmentos más pequeños y restringir el tráfico entre ellos puede ayudar a limitar el movimiento lateral de los atacantes.
2. Autenticación multifactor: Utilizar autenticación multifactor (MFA) ayuda a proteger las cuentas de usuario, lo que dificulta que los atacantes utilicen credenciales robadas para moverse lateralmente.
3. Monitorización y registros de eventos: Configurar sistemas de monitorización de seguridad y registros de eventos permite identificar actividades sospechosas y movimientos laterales anómalos.
4. Actualizaciones y parches: Mantener los sistemas y aplicaciones actualizados con los últimos parches de seguridad ayuda a mitigar las vulnerabilidades que los atacantes podrían aprovechar para el movimiento lateral.
5. Concientización y capacitación: Educar a los usuarios sobre las prácticas de seguridad, como no compartir credenciales y estar atentos a los correos electrónicos de phishing, puede reducir la probabilidad de éxito del movimiento lateral.

Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa

Escalada de Privilegios Elevados: Vertical y Horizontal

La escalada de privilegios es otro mecanismo que los atacantes utilizan para expandir su acceso dentro de una red. La escalada vertical, o elevación de privilegios, se produce cuando un atacante aumenta su nivel de acceso en un sistema, usualmente obteniendo permisos de administración o de administración del sistema.

Por otro lado, la escalada horizontal se refiere a la táctica de utilizar permisos existentes para acceder a sistemas o datos adicionales. Por ejemplo, un atacante podría utilizar credenciales de un usuario regular para obtener acceso a múltiples estaciones de trabajo o servidores donde ese usuario tiene permisos.

¿Cómo Proteger tu Empresa de esta Fase?

Para mitigar estos riesgos, es vital implementar controles de acceso rigurosos, así como utilizar alertas de seguridad para detectar y responder a cualquier intento de acceso no autorizado. También es crucial realizar auditorías de seguridad regulares para identificar y abordar cualquier servicio o aplicación débilmente protegida. Aquí tienes algunas recomendaciones clave:

1. Gestión de vulnerabilidades: Implementa un proceso de gestión de vulnerabilidades para identificar, evaluar y mitigar las vulnerabilidades en los sistemas y aplicaciones de la empresa.
2. Auditorías y evaluaciones de seguridad: Realiza auditorías y evaluaciones periódicas de seguridad para identificar posibles brechas y áreas de mejora en la infraestructura y políticas de seguridad de la empresa.
3. Seguridad de aplicaciones web: Asegúrate de que todas las aplicaciones web estén debidamente protegidas. Realiza pruebas de seguridad regulares, utiliza firewalls de aplicaciones web (WAF) y sigue las mejores prácticas de desarrollo seguro.
4. Respuesta a incidentes: Desarrolla y practica un plan de respuesta a incidentes para estar preparado en caso de un ataque. Esto incluye tener procedimientos claros, equipos de respuesta establecidos y la capacidad de investigar y contener incidentes rápidamente.

Por otro lado, al implementar una solución de XDR, las organizaciones pueden tener una visión más amplia de la actividad en su red y detectar movimientos laterales de manera más efectiva. Conoce algunas características y beneficios clave de XDR:

1. Visibilidad centralizada: XDR permite la consolidación de datos de seguridad en una única plataforma, lo que facilita la detección de movimientos laterales y la correlación de eventos en diferentes partes de la red.
2. Detección temprana: Con análisis de comportamiento y detección de anomalías, XDR puede identificar actividades sospechosas antes de que se conviertan en un movimiento lateral completo.
3. Respuesta automatizada: Puede incluir capacidades de respuesta automatizada, lo que significa que puede tomar medidas para bloquear o contener un movimiento lateral en tiempo real, reduciendo el impacto de un ataque.
4. Integración de soluciones: XDR puede integrarse con otras herramientas de seguridad, como sistemas de prevención de intrusiones (IPS), firewalls y sistemas de gestión de eventos e información de seguridad (SIEM), lo que permite una respuesta más rápida y coordinada.

Te podría interesar leer: XDR Kaspersky: Eleva la Protección de tu Empresa

Ejemplos reales de la fase 3 del Mitre ATT&CK

1. SolarWinds: En 2020, SolarWinds, una empresa proveedora de software de monitoreo y gestión de redes, fue víctima de un sofisticado ataque cibernético. Los atacantes comprometieron su software Orion, introduciendo un malware conocido como Sunburst. Esta técnica de la fase 3 permitió a los atacantes ejecutar código malicioso en los sistemas de las organizaciones que utilizaban el software comprometido.
2. NotPetya: El ataque NotPetya, mencionado anteriormente en el ejemplo de Maersk, también involucró técnicas de la fase 3 del Mitre ATT&CK. Después de propagarse a través de la red de una organización, el malware NotPetya ejecutó su código malicioso en los sistemas comprometidos, cifrando los archivos y exigiendo un rescate.
3. Stuxnet: Stuxnet es un ejemplo de un malware altamente sofisticado que implementó técnicas de la fase 3 del Mitre ATT&CK. Este malware fue diseñado para sabotear el programa nuclear de Irán. Una vez que se infiltró en los sistemas de control industrial, Stuxnet ejecutó su código malicioso para manipular las centrifugadoras utilizadas en el enriquecimiento de uranio.

La fase 3 del Mitre ATT&CK, es una etapa crítica en la que los atacantes buscan expandir su acceso y control dentro de una red. Como directores, gerentes de IT y CTO, es esencial comprender estos conceptos y aplicar medidas de seguridad proactivas para proteger la propiedad intelectual y otros datos valiosos.

No se puede subestimar la importancia de una administración del sistema eficiente, la implementación de permisos de administración adecuados, y una vigilancia constante para identificar cualquier intento de obtener acceso privilegiado. Recuerde: una red bien protegida no es solo aquella que impide el acceso inicial, sino la que resiste y limita la expansión de los atacantes una vez dentro.