Debido a su coste y complejidad, muchas organizaciones todavía no han invertido en una solución PAM. Si bien esto no deja de ser cierto para algunas
Para detectar desplazamientos laterales, las organizaciones deben identificar actividades anormales en la red, mapear rutas de desplazamiento lateral, analizar el comportamiento de los usuarios y verificar los dispositivos desconocidos. Si no se detecta, un desplazamiento lateral puede dar lugar a violaciones de datos y a la pérdida de datos especialmente sensibles. Las organizaciones pueden evitar los desplazamientos laterales dentro de su red aplicando el acceso de privilegios mínimos, implementando la confianza cero, segmentando las redes e invirtiendo en una solución PAM.
Continúe leyendo para obtener más información sobre los desplazamientos laterales, cómo funcionan, cómo detectarlos y cómo prevenirlos dentro de una red.
¿Qué es un desplazamiento lateral y cómo funciona?
El desplazamiento lateral es una técnica que los cibercriminales utilizan para acceder a las áreas más profundas de la red tras acceder a ella. Los cibercriminales utilizan el desplazamiento lateral para infectar varios dispositivos y cuentas, mantener un acceso continuo a toda la red y obtener mayores privilegios con los que acceder a datos sensibles. Dependen de que una organización cuente con una gestión del acceso privilegiado (PAM) deficiente, en la que los privilegios se rastrean o asignan de forma incorrecta.
Los cibercriminales obtendrán acceso primero robando credenciales de inicio de sesión o aprovechando vulnerabilidades de seguridad. Una vez que los cibercriminales han obtenido acceso a la red de una organización sin ser detectados, intentan ampliar sus privilegios infectando otros dispositivos de la red, robando las credenciales de inicio de sesión de los usuarios privilegiados y sorteando las autorizaciones con cuentas privilegiadas. Los cibercriminales se desplazan lateralmente por la red hasta que obtienen privilegios administrativos para controlarla toda y acceder a los recursos más valiosos.
Cómo detectar el desplazamiento lateral
Los cibercriminales intentan permanecer ocultos cuando acceden a una red y se desplazan lateralmente por ella. Sin embargo, las organizaciones pueden detectar los desplazamientos laterales mediante el monitoreo en tiempo real del comportamiento de los usuarios y de la red. Estas son las formas en que las organizaciones pueden implementar el monitoreo en tiempo real para detectar desplazamientos laterales dentro de la red.
Identifique cualquier actividad anormal en la red
La principal forma en que los cibercriminales intentan pasar desapercibidos es desactivando la configuración de seguridad y el software antivirus. Para identificar los desplazamientos laterales, las organizaciones deben buscar actividades anormales en la red, como cambios en la configuración de seguridad, conexiones a puertos externos, uso de protocolos anormales y un tráfico inusual. Si una organización detecta alguna de estas actividades anormales en la red, lo más probable es que un cibercriminal haya comprometido una cuenta privilegiada con privilegios administrativos.
Mapee rutas de desplazamientos laterales
Las organizaciones deben trazar rutas de desplazamientos laterales para identificar fácilmente si hay algún desplazamiento de este tipo en la red y conocer si las cuentas privilegiadas se han visto comprometidas. Deben examinar su infraestructura de datos y enumerar las cuentas potencialmente específicas, como las cuentas con accesos privilegiados, mecanismos de autenticación deficientes y privilegios mal gestionados. Las organizaciones también deben buscar otras vulnerabilidades que podrían llevar a un desplazamiento lateral.
Analice el comportamiento de los usuarios
Las organizaciones deben analizar el comportamiento de los usuarios para detectar desplazamientos laterales. Deben estar atentos a cualquier comportamiento anormal de los usuarios, como:
- Múltiples intentos de inicio de sesión en cuentas privilegiadas
- Horarios, ubicaciones y dispositivos de inicio de sesión anormales
- Acceso no autorizado a datos muy sensibles
- Uso compartido no autorizado de archivos
Verifique los dispositivos desconocidos
Algunas organizaciones requieren que sus empleados utilicen sus propios dispositivos para hacer su trabajo. Esto puede hacer que muchos dispositivos desconocidos se conecten a la red de sistemas y recursos de la organización. Las organizaciones nunca deben confiar en todos los dispositivos que se conectan a la red. Deben verificar todos los dispositivos desconocidos que se conecten a ella para garantizar que los cibercriminales no hagan uso de ninguno de ellos. Deben verificar al propietario del dispositivo y supervisar su actividad para confirmar que proviene de un empleado y no de un cibercriminal.
6 maneras de prevenir los desplazamientos laterales
Aunque las organizaciones pueden detectar desplazamientos laterales dentro de su red, puede ser difícil eliminar a los usuarios no autorizados, dependiendo de con cuántos dispositivos se hayan hecho los cibercriminales. Las organizaciones deben evitar que los cibercriminales obtengan acceso a la red y se desplacen lateralmente por ella. A continuación, indicamos seis formas en que las organizaciones pueden evitar los desplazamientos laterales.
Instaure el acceso de privilegios mínimos
El principio de mínimo privilegio es un concepto de seguridad cibernética que les brinda a los usuarios acceso de red a los sistemas y la información que necesitan justa y exclusivamente para hacer su trabajo. Al implementar el acceso de privilegios mínimos, las organizaciones limitan el acceso a los datos sensibles y los protegen de un uso indebido. El acceso de privilegios mínimos reduce las posibles vías de una violación de seguridad y evita los desplazamientos laterales. Si la cuenta de un usuario se ve comprometida, el cibercriminal se limita a los privilegios de ese usuario y no puede obtener más acceso a la red de la organización
Implemente la confianza cero
La confianza cero es un marco de seguridad que requiere que todos los usuarios y dispositivos verifiquen continuamente su identidad y restringe su acceso a los sistemas y datos de red. Elimina la confianza implícita y supone que todos los dispositivos se han visto comprometidos. La confianza cero se basa en tres principios:
- Suponer que habrá una violación: la confianza cero supone que todos los usuarios que intentan entrar en la red de una organización (sean humanos o máquinas) podrían verse comprometidos y dar lugar a una violación de seguridad.
- Verificar de forma explícita: con la confianza cero, todos los humanos y máquinas deben demostrar quiénes son antes de poder acceder a la red y los sistemas de una organización.
- Garantizar el privilegio mínimo: cuando un usuario obtiene acceso a la red de una organización, solo se le da el acceso que necesita para hacer su trabajo, ni más ni menos.
Si siguen un marco de confianza cero, las organizaciones pueden reducir su superficie de ataque y evitar que los cibercriminales obtengan acceso inicial a la red. La confianza cero también dificulta que los cibercriminales se desplacen lateralmente sin ser detectados.
Exija la autenticación MFA
La autenticación multifactor (MFA) es un protocolo de seguridad que requiere más de un factor de autenticación para acceder a la red de una organización. Un factor de autenticación puede ser algo que un usuario conozca, tenga o sea. Cuando la autenticación MFA se habilita, los usuarios suelen proporcionar sus credenciales de inicio de sesión junto con una forma adicional de identificación, como un código de un solo uso.
Las organizaciones deben exigir la autenticación MFA para el acceso privilegiado a las cuentas a fin de proporcionar un nivel adicional de seguridad y garantizar que solo los usuarios autorizados tengan acceso a estas cuentas sensibles. Exigir la autenticación MFA protege a las organizaciones de los desplazamientos laterales, ya que los cibercriminales no pueden proporcionar el factor de autenticación adicional necesario para acceder a las cuentas privilegiadas.
Segmente las redes
La segmentación de la red divide y aísla partes de la red para controlar quién tiene acceso a la información confidencial. Estos segmentos se adaptan a las necesidades de los diferentes usuarios y solo pueden comunicarse entre sí para funciones empresariales. La segmentación de las redes limita el acceso a toda la red y evita que los cibercriminales se desplacen por ella. Las organizaciones también pueden crear microsegmentaciones, que son partes aisladas de la red dentro de una red segmentada.
Mantenga el software actualizado
Los cibercriminales intentarán obtener acceso inicial a una organización aprovechando las vulnerabilidades de seguridad que se encuentren en la infraestructura de seguridad de la organización. A menudo, buscarán vulnerabilidades en software obsoleto. Las organizaciones deben mantener su software actualizado para corregir los problemas de seguridad e incorporar funciones de seguridad que protejan mejor los dispositivos. Las oportunidades de desplazarle lateralmente serán así menos.
Invierta en una solución de PAM
Una solución PAM es una herramienta que gestiona y protege las cuentas con permiso para acceder a datos y sistemas altamente sensibles. Con una solución PAM, las organizaciones tienen visibilidad total de toda su infraestructura de datos y pueden controlar el acceso de cada usuario a los datos sensibles. Una solución PAM también puede brindar a las organizaciones información sobre las prácticas de los empleados en torno a las contraseñas. Las organizaciones pueden garantizar que los empleados utilicen contraseñas seguras para proteger sus cuentas y que solo las compartan con los usuarios autorizados.
Evite los desplazamientos laterales con Keeper®
Los desplazamientos laterales pueden ser difíciles de gestionar para aquellas organizaciones con una gestión deficiente del acceso privilegiado. Si no se les vigila bien, los cibercriminales pueden obtener acceso privilegiado a datos altamente sensibles y robar los recursos más valiosos de una organización. Para evitar los desplazamientos laterales, las organizaciones deben invertir en una solución PAM que implemente el acceso de privilegios mínimos y la seguridad de confianza cero.
Con una solución PAM, las organizaciones pueden gestionar sus cuentas privilegiadas, supervisar quién accede a los datos sensibles e implementar medidas de seguridad para proteger los datos sensibles. KeeperPAM™ es una solución de gestión del acceso privilegiado de confianza cero y conocimiento cero que combina Keeper Enterprise Password Manager, Keeper Secrets Manager® y Keeper Connection Manager®. Ayuda a las organizaciones a reducir su superficie de ataque y proteger los datos sensibles de los daños causados por los desplazamientos laterales.
Solicite un demo de KeeperPAM para evitar que los cibercriminales utilicen los desplazamientos laterales para robar sus datos sensibles.