El movimiento lateral es una táctica utilizada por los adversarios para ampliar su acceso moviéndose a través de un entorno para alcanzar sus metas u objetivos (por ejemplo, filtrar datos confidenciales, requisar cargas de trabajo). Durante años, el movimiento lateral se ha utilizado para atacar redes locales basadas en protocolos y servicios de red como Active Directory, SMB y NTLM, pero a medida que más y más organizaciones se trasladan a cloud , los atacantes les han seguido.
Tras el ataque, los agresores buscan numerosas vías de movimiento lateral en la cloud. Por ejemplo, robar credenciales de una máquina virtual comprometida para pasar a otros servicios, o aprovechar permisos elevados para desplegar recursos en regiones geográficas no utilizadas y no vigiladas. Hay muchos casos de estos métodos que se manifiestan en ataques del mundo real.
La prevalencia de entornos híbridos conectados agrava este reto. Los adversarios en la cloud híbrida aprovechan técnicas novedosas como el uso indebido de cuentas, credenciales comprometidas y vulnerabilidades para explotar relaciones de confianza y moverse lateralmente entre superficies conectadas. Vectra Cloud Detection and Response (CDR) para AWS cuenta con la tecnología patentada Attack Signal IntelligenceTM, que adopta un enfoque centrado en las entidades para detectar el movimiento lateral en las implementaciones de cloud híbrida, sacando a la luz las amenazas más urgentes para que las aborden los equipos de SOC.
Principales retos en la detección de movimientos laterales en la cloud
Lagunas en la visibilidad de la cloud híbrida: Los equipos SOC necesitan tener visibilidad de todo su despliegue de cloud híbrida, que abarca redes de centros de datos, identidad, SaaS y nubes públicas como AWS; no depender únicamente de una fuente singular como los cortafuegos para detectar amenazas en el tráfico entrante y saliente.
Profundidad técnica en la detección de amenazas: Los equipos de los SOC necesitan capacidades avanzadas de análisis del comportamiento en varias superficies conectadas sin invertir en herramientas desarticuladas de varios proveedores que no se integran o simplemente dejan lagunas que los atacantes sofisticados pueden aprovechar para moverse lateralmente entre superficies.
Mayor complejidad operativa: el aumento del número de herramientas conlleva un incremento de los costes de equipamiento, tiempo y personal para las operaciones de seguridad (SecOps). Los equipos del SOC deben proteger sus cloud híbrida sin incurrir en un gasto excesivo de recursos y tiempo para correlacionar manualmente los datos procedentes de diversas fuentes. Esto afecta negativamente a métricas clave del SOC, como el tiempo medio de investigación (MTTI) y el tiempo medio de respuesta (MTTR).
Principales ventajas de la IA para detectar movimientos laterales en cloud
¿Por qué elegir una solución moderna de detección, investigación y respuesta (CDR) cloud ?
- Mayor visibilidad en entornos híbridos: Un único panel de cristal con entidades priorizadas de todas las superficies conectadas, incluidas redes de centros de datos, SaaS, identidad y nubes públicas como AWS.
- Detecciones basadas en IA: Una cartera de detecciones avanzadas que detectan comportamientos sofisticados de los agresores en toda la cadena de destrucción de cloud y ofrecen una protección exhaustiva frente a la vulneración de credenciales, el abuso de servicios, la escalada de privilegios y la filtración de datos.
- Prevención de movimientos laterales: Proporciona una supervisión centralizada de los comportamientos de los atacantes que intentan desplazarse lateralmente por las superficies conectadas, al tiempo que ofrece un registro de auditoría en una interfaz de usuario centralizada. Esto reduce en gran medida la carga que supone para los equipos de los SOC tener que fusionar manualmente datos procedentes de fuentes tradicionalmente inconexas.
Criterios clave a tener en cuenta para seleccionar la solución de IA adecuada
Superar los retos cloud no tiene por qué ser excesivamente complicado ni crear más trabajo para los equipos de SOC. Considere lo siguiente:
- Coberturapara la huella de la cloud híbrida: Los ataques híbridos modernos abarcan múltiples superficies conectadas que abarcan cloud pública, las redes de centros de datos, la identidad y SaaS. Se necesita una solución de detección, investigación y respuesta a las amenazas que abarque todas estas superficies.
- Céntrese en la claridad de las señales: Aproveche la tecnología de IA que no solo identifica comportamientos sofisticados de atacantes en tiempo real, sino que también prioriza los hallazgos para que su equipo SOC pueda discernir lo importante de lo urgente.
- Reducción de los gastos generales del SOC: La puesta en funcionamiento de múltiples herramientas y la formación del personal del SOC pueden suponer elevados costes de seguridad para una empresa, donde la solución ideal debería permitir investigaciones sencillas y agilizar los flujos de trabajo para las amenazas en todas las superficies de ataque.
Claves del éxito
- Amplia cobertura en despliegues híbridos: Una solución CDR, como Vectra CDR para AWS, encaja a la perfección en la plataforma Vectra AI , emergiendo y priorizando las amenazas no solo de la cloud, sino también de las superficies conectadas en un único plano de cristal.
- Claridad de señal en tiempo real impulsada por Attack Signal Intelligence™: Aprovechando la Attack Signal Intelligence líder en la industria de Vectra AIpara impulsar modelos de detección de IA creados específicamente e identificar amenazas sofisticadas en tiempo real. Vectra CDR para AWS utiliza IA para una verdadera atribución de origen, de modo que los analistas de SOC no tienen que correlacionar acciones a través de credenciales temporales para identificar al actor original. Esto ahorra horas de investigación.
- Flujos de trabajo potentes para permitir la investigación y la corrección: Vectra CDR para AWS incluye potentes funciones para investigar amenazas, como información agregada clave sobre entidades prioritarias, así como la capacidad de consultar registros sin procesar, lo que permite a los analistas invertir más ciclos en la búsqueda activa de amenazas. La solución también permite la corrección, ya sea a través de la aplicación automatizada o mediante la integración con los flujos de trabajo existentes aprovechados por la empresa.
Hoy en día, las implementaciones son híbridas y constan de superficies conectadas, como centros de datos locales, proveedores de identidad, ofertas de SaaS y nubes públicas. Los atacantes más sofisticados pretenden comprometer una superficie expuesta y, a continuación, desplazarse lateralmente hacia las superficies conectadas para alcanzar sus objetivos. Estos ataques se manifiestan de diversas formas, como el robo de credenciales, el compromiso de hosts en redes locales o amenazas basadas en la identidad que, con el tiempo, se dirigen hacia recursos clave en cloud pública. Los equipos de SOC modernos tienen la misión de eliminar las filtraciones de datos, la interrupción de los servicios y el daño a la reputación de una organización derivado de los ataques dirigidos a estas cloud híbrida.
Una vez en la cloud, la identificación de estos comportamientos puede ser un reto y cuanto más tiempo pueda moverse un atacante sin ser detectado a través de la huella híbrida conectada, mayor será el daño potencial. Con Vectra CDR para AWS, los equipos SOC tienen una amplia visibilidad de las amenazas a través de las superficies conectadas en un solo panel de vidrio con un enfoque profundo en la identificación de técnicas avanzadas de movimiento lateral en entornos de cloud . Vectra AI monitoriza los comportamientos de usuarios y servicios en cloud nube aprovechando su Attack Signal Intelligence™ para priorizar las amenazas y mitigar el riesgo de impacto en la huella de una organización.
