Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Reducción de ransomware 101: Movimiento lateral entre endpoints

Illumio Editorial
Illumio Editorial
14de diciembre de 2020
23 min. leer

En el peor momento posible, el ransomware es una amenaza mayor que nunca, ya que reduce las operaciones de TI a lápiz y papel y derriba compañías cuando menos podemos permitírnoslo. En medio de una pandemia, vimos el aumento continuo del ransomware sanitario. Aquellos de nosotros con niños que aprenden de forma remota tenemos ransomware como el nuevo día de nieve.

¿Por qué todavía hay tantos ataques de ransomware exitosos?

¿Qué es el movimiento lateral?

El movimiento lateral es cuando un intruso o ataque viola su perímetro y luego se mueve lateralmente a través de un entorno a otras máquinas, lo que resulta en una violación de datos mucho más grande y costosa. Esto podría comenzar en un punto final o incluso en una carga de trabajo de centro de datos comprometida, derribando decenas de miles de computadoras de usuarios finales o incluso apuntando estratégicamente a los activos de su centro de datos más valiosos.

El marco ATT&CK de MITRE lo dice claramente: "el adversario está tratando de mover a través de su entorno". Esto significa que no solo debemos centrarnos en evitar que las amenazas se afiancen, sino también en detener el movimiento lateral de este atacante. Esto es ahora tan fundamental para el trabajo de un defensor, que el MITRE ATT&CK señala el movimiento lateral como una técnica clave del atacante para defender. 

¿Por qué el malware tiene tanto éxito en propagar mediante el movimiento lateral entre endpoints? Para entender por qué sucede esto, primero tenemos que examinar cómo funciona la seguridad de las aplicaciones tradicionales para proteger el centro de datos, pero no siempre el punto final.

Movimiento lateral en el centro de datos

La seguridad del centro de datos se centra en las comunicaciones cliente-servidor desde los puntos finales hasta el servidor. En la mayoría de las aplicaciones empresariales basadas en navegador de hoy en día, cuando un usuario ingresa la URL de la aplicación en la ventana de su navegador, el navegador abre una conexión a un servidor sitio web que se ejecuta en un centro de datos o una nube pública. Las máquinas de los usuarios finales se comunican con estos servidores front-end a través de puertos estándar como 80 y 443. Los servidores sitio web detrás del perímetro corporativo están protegidos por firewalls, IPS, detección y respuesta, y otras tecnologías de seguridad del centro de datos. Los servidores front-end están conectados a la lógica empresarial, la base de datos y otros tipos de servidores, todo dentro de los límites del centro de datos o del entorno de la nube.

Aquí es donde el movimiento lateral puede hacer su daño. Si un servidor externo o una carga de trabajo se ven comprometidos a través de una vulnerabilidad, un atacante puede mover lateralmente desde la carga de trabajo comprometida hasta donde residen los datos valiosos, como en los servidores de bases de datos. En una red plana sin microsegmentación, esto no es nada difícil.

Con una segmentación efectiva, todos estos servidores "internos" están protegidos de amenazas externas. La microsegmentación evita que los atacantes o las amenazas se propaguen o se muevan lateralmente, o "este-oeste", en centros de datos, nubes o redes de campus.  Una amenaza se limitará al segmento de red o al segmento de host que se implementó, por lo que los atacantes no pueden mover a otras partes de un entorno. Esto protege mejor a las organizaciones de las infracciones al limitar su tamaño e impacto.

Movimiento lateral de punto final a punto final

¿Por qué esto no es suficiente para detener el ransomware? La respuesta es que el ransomware no necesita comunicar con el servidor para propagar. Puede propagar de un punto de conexión a otro a decenas de miles de máquinas en segundos.

El ransomware generalmente se inicia desde el punto final y se propaga directamente a otros puntos finales a través de RDP, SMB, SIP, Skype, etc. Las aplicaciones peer-to-peer (P2P) entre puntos finales crean este movimiento lateral, o conexión este-oeste, que no implica comunicación entre puntos finales y servidores. Mientras que la mayoría de las aplicaciones empresariales modernas se basan únicamente en conexiones salientes (conexiones de inicio de punto final al servidor), las tecnologías P2P aprovechan las conexiones entrantes de los puntos finales vecinos. Estos endpoints se comunican sin afectar el tráfico a través de un servidor o centro de datos, lo que significa que dependen de la seguridad que existe en el propio endpoint.

Prevención del movimiento lateral entre los puntos finales

¿Cuáles son los desafíos para cerciorar el movimiento lateral entre los puntos finales?

Visibilidad: las conexiones laterales entre endpoints en la misma subred, por ejemplo, serán invisibles para los firewalls y las puertas de enlace, lo que hará que estos dispositivos de seguridad sean totalmente ineficaces para detectar y prevenir las amenazas asociadas. Esto también significa una falta total de visibilidad de lo que sucede en casa para los empleados que trabajan de forma remota.

¿Qué pasa con la seguridad de los endpoints? Si bien puede detectar y responder, las herramientas EDR y EPP que se ejecutan en el endpoint son reactivas a las amenazas. En otras palabras, funciona solo después de que ocurre una infracción, en lugar de evitar su propagación desde el principio.

Confianza cero para el endpoint

La mejor práctica para prevenir la propagación de infracciones es adoptar una política de seguridad confiable cero . Esto significa una lista de permitidos obligatorios de servicios aprobados para ejecutar entre puntos finales, con licencias otorgadas solo para acceder con un propósito comercial legítimo.

Si alguna vez intentó descargar e instalar una aplicación P2P, como Skype, fuera de Internet en su computadora portátil en un nuevo trabajo y recibió un desagradable grama de TI, comprende cómo funciona esto. Los usuarios solo deben acceder a recursos aprobados por la compañía, para la protección de todos.

A medida que las amenazas a la seguridad evolucionan y los piratas informáticos patrocinados por el estado se vuelven cada vez más sofisticados, las soluciones de seguridad deben mantener al día para seguir siendo relevantes. Las soluciones de Zero Trust pueden proteger múltiples sistemas de forma proactiva, ofreciendo cobertura de seguridad basada en los primeros directores y una baja tasa de falsos positivos. Las herramientas de software como Illumio Edge lideran el camino en la gestión escalable de firewall basada en host y ofrecen protecciones de seguridad y defensa sin precedentes contra movimientos laterales maliciosos.

Obtenga más información sobre Illumio Edge en nuestro sitio web o registrar hoy mismo en nuestro seminario sitio web del 21 de diciembre.

Temas relacionados

Seguridad de endpoints

Artículos relacionados

Desmitificando las técnicas de ransomware mediante ensamblajes .Net: un ataque de varias etapas
Ransomware Containment

Desmitificando las técnicas de ransomware mediante ensamblajes .Net: un ataque de varias etapas

Aprenda los fundamentos de un ataque de carga útil de varias etapas empleando un conjunto de cargas útiles por etapas.

Read more
NOMBRE:Conclusiones de WRECK: cómo la microsegmentación puede ayudar con la visibilidad y la contención
Ransomware Containment

NOMBRE:Conclusiones de WRECK: cómo la microsegmentación puede ayudar con la visibilidad y la contención

Cómo la microsegmentación puede ayudar con la visibilidad y la contención para evitar vulnerabilidades WRECK, ejecución remota de código o denegación de servicio.

Read more
Por qué la fabricación debe proteger los recursos de IIoT contra el ransomware
Ransomware Containment

Por qué la fabricación debe proteger los recursos de IIoT contra el ransomware

Obtenga información sobre el riesgo de ransomware para los recursos de IIoT en el sector manufacturero.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more