El movimiento lateral es un tipo de actividad de red informática que implica la transferencia lateral o movimiento no autorizado a través de una red de un sistema informático a otro. Es una técnica comúnmente utilizada por un atacante para obtener acceso a más sistemas en una red o segmentos de red una vez que una computadora se ve comprometida, lo que permite a los actores maliciosos atravesar más una red. El movimiento lateral puede cubrir una variedad de actividades, como autenticarse en un sistema ya comprometido, ejecutar exploits locales o desarrollar otros nuevos, aumentar privilegios y proxy de conexiones de red.
El movimiento lateral a menudo se logra mediante dos métodos comunes: pasar el hachís y pasar el boleto. Pass-the-hash es un ataque en el que un atacante captura el valor hash de la contraseña de un usuario (normalmente mediante un ataque de phishing) y lo utiliza para autenticarse en otros sistemas de la red. Pass-the-ticket es un ataque en el que el atacante captura el ticket de concesión de tickets (TGT) Kerberos del usuario y lo utiliza para autenticarse en otros sistemas de la red.
Los métodos comunes de movimiento lateral también incluyen la ejecución remota de código, manipulación de archivos, creación de tareas, manipulación de WMI y manipulación de servicios. Las técnicas de movimiento lateral varían según la postura de seguridad de la red objetivo, pero todos los intentos de descubrir y moverse lateralmente a través de una red objetivo requieren algún tipo de reconocimiento. Una vez que se establece un punto de apoyo, es posible acceder a sistemas confidenciales y robar datos confidenciales o lanzar ataques adicionales. Como tal, el movimiento lateral es un foco clave del monitoreo de la seguridad de la red y es una etapa de actividad para identificar y responder a un ataque.
La defensa contra el movimiento lateral requiere un enfoque de seguridad integral, que incluya autenticación multifactor, segmentación de cuentas privilegiadas, parches seguros y monitoreo de intentos de movimiento lateral mediante el uso de análisis avanzados e inteligencia sobre amenazas. Las empresas deben asegurarse de auditar toda la actividad del sistema en busca de comportamientos sospechosos y buscar vectores de ataque maliciosos comúnmente utilizados dentro de su entorno.
