Lateral bevægelse og hvordan man opdager det | Logrytme

du har måske hørt om begrebet lateral bevægelse inden for rammerne af sikkerhedsoperationer og har en generel ide om, hvordan trusselaktører udnytter denne taktik for at få adgang til dine data. Men hvad er lateral bevægelse? Og hvordan påvirker det din organisations sikkerhedsoperationer?

Hvad er Lateral bevægelse?

lad os starte med definitionen MITRE ATT&CK krist giver mulighed for lateral bevægelse:

Lateral bevægelse består af teknikker, som modstandere bruger til at komme ind og styre fjernsystemer på et netværk. At følge deres primære mål kræver ofte at udforske netværket for at finde deres mål og efterfølgende få adgang til det. At nå deres mål indebærer ofte at dreje gennem flere systemer og få adgang til konti. Modstandere kan installere deres egne fjernadgangsværktøjer for at udføre Lateral bevægelse eller bruge legitime legitimationsoplysninger med indfødte netværks-og operativsystemværktøjer, hvilket kan være stealthier.

laterale bevægelsesteknikker

det vigtige at fokusere på inden for MITRE ‘s definition er, at lateral bevægelse ikke er en enkelt teknik, men i stedet et sæt teknikker, der inkluderer avancerede vedvarende trusler (Apt’ er) og udnyttelsesområder, der bruges af trusselaktører for at få adgang til deres tilsigtede mål.

disse teknikker fremhæver de forskellige sårbarheder og metoder, der bruges til at stjæle legitimationsoplysninger og udnytte fjerntjenester. Du kan finde den fulde liste over laterale bevægelsesteknikker og trin til at afbøde hver teknik på mitres hjemmeside. Eksempler på lateral bevægelse inkluderer:

  • Pass the hash (PtH)
  • Pass the ticket (PtT)
  • udnyttelse af fjerntjenester
  • intern spearphishing
  • SSH kapring
  • vinduer admin aktier

detektering af Lateral bevægelse

nøglen til Detekteringsteknikker, der indikerer lateral bevægelse, er at indse, at der er mere end en tilgang til at identificere denne type aktivitet. I mange tilfælde kan det kræve en kombination af tilgange til at identificere, hvornår en trusselaktør bevæger sig i hele dit miljø.

selvom det ikke er nogen simpel opgave at registrere lateral bevægelse i dit miljø, er der flere metoder, der kan hjælpe dig med at advare dig om mistænkelig aktivitet relateret til laterale bevægelsesteknikker og give kontekst, der understøtter undersøgelsesprocessen.

ved at bruge både realtidsovervågning og adfærdsanalyse kan du straks identificere potentielt ondsindet aktivitet og undersøge sådan aktivitet med kontekstuelle beviser. Lad os nedbryde nøjagtigt, hvad disse to muligheder er for bedre at forstå, hvordan de arbejder sammen.

overvågning i realtid (alarmering)

effektiv indsamling, normalisering og korrelering af data på tværs af et miljø giver alarmering i realtid, der kan identificere mistænkelig aktivitet, der kræver yderligere undersøgelse. Ved at samle alarmer kan denne teknologi hjælpe med at observere udviklingen af en trussel i realtid og se blandingsaktivitet, der yderligere peger på en sand trussel.

når du bruger realtidsovervågning, kan du også anvende regler, der kortlægges til gering ATT& CK-rammen, specifikt omkring laterale bevægelsesteknikker. At give regler for alle teknikker inden for rammerne kan sikre, at du dækker alle potentielle udnyttelsesområder.

adfærdsanalyse (undersøgelse)

adfærdsanalyse giver et unikt kig på aktiviteten hos brugere og netværksenheder for at prioritere og adressere aktivitet, der viser signifikant afvigelse fra normal adfærd.

ueba-løsninger (Ueba) bruger maskinlæring (ML) til at bestemme både baseline (normal adfærd) for hver bruger og enhed og betydningen af enhver aktivitet, der afviger fra denne baseline. Forståelse af disse afvigelser kan give kontekstuelle beviser, der understøtter undersøgelsen af en advarsel omkring mistænkelig aktivitet.

med hver detektionsmetode, der giver et unikt perspektiv og har forskellige ressource-og timingkrav, er det vigtigt ikke kun at afhænge af en enkelt metode, der måske eller måske ikke er den rigtige tilgang til hvert scenario. Nogle scenarier har muligvis kun brug for alarm i realtid for effektivt at opdage laterale bevægelsesteknikker, mens mere sofistikerede angreb kan kræve både alarmering og efterforskning gennem adfærdsanalyse for med sikkerhed at identificere en ondsindet skuespiller.

Lateral bevægelse Use Case

nedenfor er et eksempel på en lateral bevægelse angreb og detektere sekvens.

angriber: rekognoscering

  • angriberen indleder recon og intel-indsamling ved hjælp af en kombination af værktøjer som openvas, Nmap, Shodan osv.

angriber: Udnytte

  • angriberen udnytter en sårbarhed identificeret under recon for at få første adgang.

Hacker: Credential Theft

  • angriberen bruger en intern spearphishing teknik til at udnytte andre brugere inden for samme organisation og få større adgang.

SecOps: indledende alarm

  • Korrelationsregel udløst straks på grund af phishingindikatorer og genereret alarm
  • ny sag oprettet
  • undersøgelse indledt

angriber: Rettighedsoptrapning

  • efter en vellykket spydfiskeudnyttelse forsøger angriberen at eskalere privilegier for at få adgang til det tilsigtede mål.

SecOps: yderligere alarm udløst

  • en alarm udløses på grund af privilegier, der ændres.
  • en ny advarsel føjes til en eksisterende sag.
  • SecOps fortsætter undersøgelsen ved hjælp af adfærdsanalyse til at identificere uregelmæssig aktivitet og tilføje kontekst til eksisterende alarmer.

angriber: Dataudfiltrering

  • angriberen indleder RDP-session for at få fjernadgang til den målrettede server.
  • angriberen ser følsomme data på målserveren.
  • angriberen begynder at kopiere filer fra serveren.

SecOps: yderligere alarm udløst og respons

  • en alarm udløses på grund af følsom filadgang.
  • en alarm udløses på grund af filkopiering.
  • Nye advarsler føjes til en eksisterende sag, som nu har tilstrækkelige beviser til at begynde afhjælpning.
  • SecOps initierer automatisk handling for at afbryde brugerens RDP-session og låse brugeren ud af serveren.

forebyggelse af Lateral bevægelse

at reducere den tid, det tager dit team at opdage og reagere på lateral bevægelse, vil mindske chancerne for, at en trusselaktør bevæger sig på tværs af dit netværk og til sidst får adgang til følsomme data. Ueba-løsninger, der integrerer sikkerhedsorkestrering, automatisering og response (SOAR) – funktioner, kan hjælpe dit team med hurtigt at identificere al relateret ondsindet aktivitet for hurtig detektion og respons.

se vores on-demand hjemmeside for at lære mere om UEBA markedet og hvordan det kan give dit team synlighed i insider trusler her.



+