Ataques dirigidos de alto perfil utilizan el movimiento

lateral para perpetrar

Bajo el contexto de incidentes de seguridad, violaciones o brechas de datos o el ciclo de vida de los ciberataques,
el entendimiento del concepto del “movimiento lateral” se vuelve un tema fundamental. Varios ataques
dirigidos de alto perfil han utilizado esta técnica y el robo de credenciales como una forma de penetrar
organizaciones, persistir y buscar datos críticos sensibles para ocasionar severos daños a nivel operativo y
financiero, afectando incluso el prestigio de las empresas.
¿Pero qué es el movimiento lateral?
Cuando un ciberdelincuente pone la mira sobre una organización específica, típicamente prepara su entrada
mediante malware o campañas de spear phishing, y cuyo objetivo inicial no es extraer la mayor cantidad de
información sensible, sino establecer un punto de entrada a la red. Cuando se compromete al menos a un
equipo, este se convierte en un “pivote” para comenzar el movimiento lateral. Puede ejecutarse un solo paso
lateral o cientos de ellos para llegar al objetivo perseguido, ya sea la información crítica sensible o controlar
un sistema foco, y para esto muchas veces los crackers (hackers de sombrero negro) buscan credenciales de
personas clave para moverse en la red “legítimamente”.
El movimiento lateral es parte de una de las etapas que utiliza un hacker ético y cracker en un ataque dirigido,
que típicamente son; la recolección de información y escaneo, acceso y escalamiento de privilegios,
exfiltración, sostenimiento, asalto y ofuscación.
Hoy en día, el oficial de seguridad de la información (CISO) y aún la mesa directiva en las organizaciones
deben afrontar dos preguntas críticas:
1. ¿Qué tan rápido pueden detectar ciberamenazas que ya viven dentro de su red?
2. ¿Qué tan rápido pueden responder para contenerlas y/o remediarlas?
Y es que el último reporte de tendencias en 2018 de Mandiant pone de manifiesto que 101 días es el promedio
del tiempo de permanencia (dwell time) desde que un atacante compromete activos hasta que es descubierto.
Adicional, Verizon remarca en su reporte DBIR de 2018 que, de 53,308 incidentes de seguridad en 65 países,
el 68% de las brechas de datos tardaron meses o más en descubrirse, a pesar de que los compromisos toman
sólo minutos o menos, y sólo el 3% son detectados rápidamente. ¡Cifras inaceptables para los
tomadores de decisiones!
¿Cómo manejar esta técnica sigilosa?
El Deception o “uso del engaño” es uno de los enfoques tecnológicos en adopción por las organizaciones que
precisamente proporciona esa visibilidad en la red de manera rápida, con baja fricción de implementación
respecto de otros mecanismos, bajo en falsos positivos y en cantidad de eventos generados. El
analista Gartner listó al Deception (junto a tecnologías UEBA y EPP+EDR) como una de las estrategias
tecnológicas para la detección y respuesta de amenazas y dentro de los 10 proyectos prioritarios de los CISO
en 2018, como contribuidores a reducir el riesgo y tener un gran impacto en el negocio.

El enfoque es simple, consiste en extender la superficie hacia el atacante mediante 2 conceptos

conocidos: trampas y señuelos; que permitirán identificar de manera temprana a los atacantes durante
una brecha en progreso o desde los primeros síntomas de reconocimiento de estos. Esta red de “activos
falsos” se vuelve en un campo minado para el atacante, que a la vez permite entender sus tácticas, técnicas y
procedimientos durante la intrusión y que por ende permita adaptar los controles preventivos existentes para
una futura brecha. Un beneficio sustancial del Deception es que es eficaz ante adversarios externos, internos
y proveedores; esto último toma gran valor si a la organización le preocupan los ataques a la cadena de
suministro.
Mejorando la detección y respuesta ante los ataques
cibernéticos dirigidos
Vivimos en una generación con amenazas avanzadas y requerimos tecnología de punta para defendernos y
mitigar los riesgos cibernéticos, por lo que un Sistema de Inteligencia Avanzada de Deception es una
herramienta que no debe faltar en las organizaciones para complementar su estrategia de ciberseguridad
efectiva, con una defensa activa y respuesta acelerada a incidentes.

¿Qué características y funcionalidades debe tener la

solución?
  Escalable en todos los entornos y de fácil despliegue, con un amplio ecosistema de integración de socios
nativos que aceleren la respuesta a incidentes.
 Uso de alta interacción; desplegando sistemas operativos reales como factor clave para la estrategia de
engaño auténtica.
 Detección en tiempo real y análisis de las amenazas dentro de la red, captando el robo de credenciales, el
esparcimiento lateral de programas maliciosos, ransomware y de ataques dirigidos dentro de redes de
usuarios, centros de datos, nube, entornos IOT y SCADA.
 Alertas fundamentadas, evaluación de vulnerabilidades de las rutas de ataque, análisis detallado e
informes forenses y reproducción de ataques transcurridos en el tiempo para fortalecer las defensas
generales.

Gartner predijo que en 2018, el 10% de las empresas usarían estas herramientas y tácticas de engaño y
participarían activamente en operaciones de engaño contra atacantes, mejorando la detección y respuesta.
Dicha tendencia seguirá evolucionando junto a TI y generando inversiones de 3 billones de dólares en los
próximos años, según FBR Capital Markets. Una solución estratégica ideal para una ciberdefensa efectiva
integral.