možná Jste slyšeli o pojmu laterální pohyb v rámci bezpečnostních operací a mají obecnou představu o tom, jak škodlivý herci pákový efekt této taktiky, jak získat přístup k vašim datům. Ale co přesně je boční pohyb? A jak to ovlivní bezpečnostní operace vaší organizace?
co je boční pohyb?
začněme s definicí MITRE ATT&CK™ poskytuje boční pohyb:
boční pohyb se skládá z technik, které protivníci používají ke vstupu a ovládání vzdálených systémů v síti. Sledování jejich primárního cíle často vyžaduje prozkoumání sítě, aby našel svůj cíl a následně k němu získal přístup. Dosažení jejich cíle často zahrnuje otáčení prostřednictvím více systémů a získání přístupu k účtům. Protivníci mohou instalovat své vlastní nástroje pro vzdálený přístup k dosažení bočního pohybu nebo použít legitimní pověření s nativními nástroji sítě a operačního systému, což může být nenápadnější.
Boční Pohyb Techniky
důležitá věc, kterou se zaměřit na v MITRE definice je, že boční pohyb není jediná technika, ale místo toho soubor technik, které zahrnují advanced persistent threats (APTs) a oblasti využívání používán škodlivý herci získat přístup k jejich zamýšlený cíl.
tyto techniky zdůrazňují různé zranitelnosti a metody používané k odcizení pověření a využívání vzdálených služeb. Úplný seznam technik laterálního pohybu a kroků pro zmírnění každé techniky najdete na webových stránkách MITRE. Příklady boční pohyb patří:
- Pass the hash (PtH)
- Předat lístek (PtT)
- Využívání vzdálených služeb
- Vnitřní spearphishing
- SSH únos
- Windows admin akcie
Detekce Boční Pohyb
klíčem k odhalování techniky orientační boční pohyb je si uvědomit, že existuje více než jeden přístup k určování tohoto druhu činnosti. V mnoha případech může vyžadovat kombinaci přístupů k identifikaci, kdy se herec hrozby pohybuje ve vašem prostředí.
Při zjišťování laterální pohyb ve vašem prostředí není jednoduchý úkol, existuje několik metod, které mohou pomoci vás upozorní na podezřelé aktivity související s boční pohyb techniky a poskytnout kontext, který podporuje proces vyšetřování.
pomocí monitorování v reálném čase i analýzy chování můžete okamžitě identifikovat potenciálně škodlivou aktivitu a prozkoumat tuto aktivitu pomocí kontextových důkazů. Pojďme si přesně rozebrat, jaké jsou tyto dvě schopnosti, abychom lépe porozuměli tomu, jak spolupracují.
Real-Time Monitoring (Varování)
Efektivně sbírat, normalizaci a korelaci dat přes prostředí, poskytuje v reálném čase upozornění, které mohou identifikovat podezřelé aktivity, které vyžaduje další šetření. Agregací výstrah může tato technologie pomoci sledovat vývoj hrozby v reálném čase a zobrazit kombinovanou aktivitu, která dále ukazuje na skutečnou hrozbu.
při použití monitorování v reálném čase můžete také použít pravidla, která mapují rámec MITRE ATT&CK, konkrétně kolem technik laterálního pohybu. Poskytování pravidel pro všechny techniky v rámci může zajistit, že pokrýváte všechny potenciální oblasti vykořisťování.
Analýza Chování (Šetření)
Behaviorální analýzy, poskytuje jedinečný pohled na aktivitu uživatelů a sítě subjektů, priority a adresu, činnost, která vykazuje významné odchylky od normálního chování.
Uživatel a jednotka analýzy chování (UEBA) řešení pomocí strojového učení (ML) k určení základní (normální chování) každého uživatele a subjektu a význam jakékoli činnosti, který se odchyluje od základní linie. Pochopení těchto odchylek může poskytnout kontextové důkazy, které podporují vyšetřování upozornění na podezřelou aktivitu.
S každou detekční metoda poskytuje jedinečný pohled a mají různé zdroje a časové požadavky, je důležité, aby záviset pouze na jeden způsob, který může nebo nemusí být správný přístup pro každý scénář. Některé scénáře mohou potřebovat pouze real-time upozorní, aby účinně detekovat boční pohyb techniky, zatímco sofistikovanější útoky mohou vyžadovat varování a vyšetřování prostřednictvím behaviorální analýzy s jistotou určit škodlivé herec.
případ použití laterálního pohybu
níže je uveden příklad útoku laterálního pohybu a detekční sekvence.
Útočník: Průzkum
- útočník zahájí průzkum a získávání informací pomocí kombinace nástrojů, jako jsou OpenVAS, Nmap, Shodan, atd.
útočník: Exploit
- útočník zneužije zranitelnost identifikovanou během průzkumu k získání počátečního přístupu.
Útočník: Pověření Krádeže
- útočník používá interní spearphishing techniku využívat ostatní uživatelé v rámci stejné organizace a získat větší přístup.
SecOps: Úvodní Upozornění
- Korelační pravidlo spustí okamžitě vzhledem k phishing ukazatele a upozornění generované
- Nový případ vytvořil
- Vyšetřování zahájeno
Útočník: Eskalace oprávnění
- po úspěšném zneužití spearfishingu se útočník pokusí eskalovat oprávnění, aby získal přístup k zamýšlenému cíli.
SecOps: dodatečné upozornění spuštěno
- upozornění je spuštěno z důvodu změny oprávnění.
- k existujícímu případu je Přidáno nové upozornění.
- SecOps pokračuje ve vyšetřování pomocí behaviorální analýzy k identifikaci anomální aktivity a přidání kontextu k existujícím výstrahám.
útočník: Exfiltrace dat
- útočník iniciuje relaci RDP pro vzdálený přístup k cílovému serveru.
- útočník zobrazuje citlivá data na cílovém serveru.
- útočník začne kopírovat soubory ze serveru.
SecOps: další upozornění spuštěno a odezva
- výstraha je spuštěna kvůli citlivému přístupu k souborům.
- kvůli kopírování souboru se spustí upozornění.
- k existujícímu případu jsou přidána nová upozornění, která nyní mají dostatečné důkazy pro zahájení sanace.
- SecOps iniciuje automatickou akci pro odpojení relace RDP uživatele a uzamčení uživatele ze serveru.
Zabránit Boční Pohyb
Snížení času to bere svůj tým, odhalit a reagovat na boční pohyb bude nižší šance na nebezpečný herec, pohybující se po celé síti a nakonec získat přístup k citlivým datům. Řešení UEBA, která integrují funkce orchestrace zabezpečení, automatizace a reakce (SOAR), mohou vašemu týmu pomoci rychle identifikovat všechny související škodlivé aktivity pro rychlou detekci a reakci.
Sledujte naše on-demand webináře se dozvíte více o UEBA trhu a jak to může dát váš tým viditelnost do zasvěcených hrozby.
