Después del salto: movimientos laterales dentro de redes

Las redes corporativas suelen ser estructuras inmensas que engloban miles de dispositivos conectados y, con demasiada frecuencia, tan solo se las protege bloqueando sus puntos de acceso. Pero ¿qué sucede una vez que un usuario (o intruso) ingresa a uno de esos puntos de entrada? Teniendo en cuenta que las ciberamenazas están en perpetua evolución y que existe un bombardeo constante de nuevas herramientas desplegadas por los hackers, todo buen equipo de ciberseguridad siempre debe suponer que sus defensas externas serán penetradas.

Tal suposición hará que estos equipos analicen más de cerca qué características de seguridad están implementadas dentro de la red, y no solo en su perímetro. De lo contrario, ¿qué va a evitar que los hackers se muevan de un recurso a otro tras acceder a una red? Una vez que han robado las credenciales o se han infiltrado por una puerta, ¿qué les impide saltar de este servidor al siguiente para acceder a los activos más sensibles de una empresa? Esta clase de movimiento interno a través de una red, conocido como movimiento lateral, puede conducir a la devastadora exposición de todo el sistema y al acceso a los recursos críticos que no están protegidos correctamente. La violación de datos a la cadena estadounidense de grandes almacenes Target en 2014 sigue siendo un ejemplo ilustrativo y una advertencia de lo que puede suceder cuando los movimientos laterales se realizan de forma sencilla.

 

Análisis del ciberataque a Target

La entrada inicial a la red de Target se logró mediante el robo de credenciales del proveedor de HVAC de Target. A partir de estas credenciales, los hackers pudieron ingresar directamente en un subsistema de proveedores de la red de Target, lo que una vez más demuestra que los equipos de seguridad siempre deben asumir que los hackers encontrarán una forma de acceder a la red que les interesa. Pero, primero de todo, ¿por qué el equipo de HVAC tenía acceso privilegiado a toda la red de Target si lo único que necesitaban era acceder al sistema de aire?

Evidentemente, los proveedores no tenían acceso a las bases de datos internas de SQL Server de Target, por lo que los hackers comenzaron su serie de movimientos laterales para así instalar un malware en los sistemas de Punto de Venta (POS) de la cadena.

En primer lugar, los hackers instalaron un script en el subsistema del proveedor que les permitió ejecutar comandos arbitrarios del sistema operativo. Gracias a esta acción pudieron consultar el Active Directory y así conocer los nombres de los servidores SQL que podían contener datos valiosos, lo que finalmente les permitió obtener las direcciones IP de esos mismos servidores a través del DNS de Target. Tras ejecutar otro ataque por el que pudieron hacerse pasar por un administrador de dominio y crear su propia cuenta de administrador de dominio, los hackers escanearon la red en busca de máquinas vulnerables.

Movimiento Lateral: de punto a punto a Punto de Venta

Una vez que los hackers lograron hacerse con el acceso de los proveedores de HVAC, los movimientos laterales comenzaron. Estos ciberdelincuentes empezaron a saltar de una máquina a otra utilizando sus credenciales de administrador robadas hasta las bases de datos de SQL Server de Target, desde las que pudieron consultar la información personal de alrededor de 70 millones de clientes. Sin embargo, la información robada no contenía los números de las tarjetas de crédito, por lo que los hackers tuvieron que llevar a cabo más movimientos laterales hasta que encontraron las máquinas POS, en las que instalaron un malware que recopilaba la información de las tarjetas de crédito para después entregarla a los ciberdelincuentes a través de FTP.

Una vez que comenzaron las compras fraudulentas con las tarjetas de crédito robadas, la violación se descubrió rápidamente, pero no sin antes infligir daños que le costaron a Target cientos de millones de dólares. Para ser justos con esta cadena de grandes almacenes, el daño habría sido mucho peor si no hubiera cumplido con la normativa PCI-DSS que establece que no se deben almacenar números de tarjetas de crédito en las bases de datos, pero ¿se podría haber hecho más?

Lo que pudo haber sido

La respuesta breve es sí, se podría haber hecho más. La respuesta más detallada es que existen una serie de medidas de seguridad sencillas que podrían haberse implementado y así se hubiera evitado cada una de las fases del ataque que los hackers llevaron a cabo. A pesar de que las credenciales habían sido robadas, se podría haber impedido que los hackers accedieran a la red de Target si se hubiera solicitado al proveedor la autenticación multifactor utilizando credenciales privilegiadas. Resulta crucial verificar que un usuario privilegiado es quien dice ser al iniciar sesión, ya que es una oportunidad perdida para impedir los ciberataques. Sin embargo, como hemos visto, una vez dentro de la red los hackers causaron estragos, y ahí es donde una estrategia de defensa en profundidad, creada a través de la Gestión de Acceso Privilegiado (PAM) podría haber sido de gran utilidad.

Desde el diseño, una solución PAM sólida está diseñada para mitigar o incluso prevenir la secuencia de exploits y movimientos laterales que los hackers llevaron a cabo. Existen varias características clave que debe tener una solución PAM para que esto sea posible:

  • Se debe otorgar acceso privilegiado a recursos confidenciales según el Principio del Privilegio Mínimo. Es decir, conceder acceso a un usuario a los recursos mínimos necesarios para realizar su trabajo durante el menor tiempo posible, ni más ni menos.
  • Los privilegios de acceso deben definirse no solo por las credenciales y roles del usuario, sino también por las circunstancias. Es decir, incluso a los superadministradores solo se les debe permitir el acceso a recursos confidenciales dentro del horario laboral o desde ubicaciones aprobadas.
  • Para ayudar a prevenir movimientos laterales, ni siquiera los recursos sensibles dentro de una red deben ser visibles para quienes no tienen privilegios de acceso, ya que así se evita la curiosidad y la exploración.
  • Todas las sesiones deben ser monitoreadas y registradas, y la solución del PAM debe haber automatizado la función que le permite finalizar cualquier sesión en la que se produzca una actividad sospechosa.
  • Además, la solución PAM debe tener capacidades de alerta en tiempo real para activar la participación del equipo de seguridad siempre que se produzca una actividad sospechosa. Por ejemplo, en el ataque a Target se debería haber comunicado inmediatamente a los administradores que los hackers estaban consultando el Active Directory utilizando cadenas de búsqueda con caracteres comodín.

No se puede subestimar la importancia de una solución PAM con sólidas capacidades de monitoreo de sesiones. Sin este tipo de solución, los hackers que pueden otorgarse con éxito credenciales de acceso privilegiado son libres de acceder a recursos confidenciales a medida que se mueven por una red sin ningún tipo de obstáculo. De hecho, en el caso de Target no se advirtió ningún acceso privilegiado no autorizado ni movimiento lateral dentro de la red hasta que las empresas de tarjetas de crédito dieron la voz de alarma.

¿Podría una solución de PAM adecuada haber detenido en seco a los hackers de Target? Nunca lo sabremos de forma segura, pero parece probable. El precio que ha pagado Target, y otras muchas empresas que han sufrido daños a través de exploits de movimiento lateral, ha sido alto. Dado que los hackers casi siempre encuentran el camino hacia la mayoría de los sistemas, no es suficiente con solo proteger el perímetro. El bloqueo del interior de un sistema para evitar movimientos laterales es seguro y rentable, y una solución PAM sólida contribuye en gran medida a lograr una seguridad de red tan resistente.