Lateral Movement and How to Detect It / Logrythm

olet ehkä kuullut sivusuuntaisen liikkeen käsitteestä turvallisuusoperaatioiden yhteydessä ja sinulla on yleinen käsitys siitä, miten uhkatekijät hyödyntävät tätä taktiikkaa päästäkseen käsiksi tietoihisi. Mutta mitä on sivuttaisliike? Ja miten se vaikuttaa organisaationne turvallisuusoperaatioihin?

mitä on sivuttaisliike?

aloitetaan määritelmästä MITRE ATT&CK™, joka mahdollistaa sivuttaisliikkeen:

sivuttaisliike koostuu tekniikoista, joita vastustajat käyttävät verkon etäjärjestelmien syöttämiseen ja ohjaamiseen. Ensisijaiseen tavoitteeseensa pääseminen edellyttää usein verkon tutkimista, jotta ne löytävät kohteensa ja saavat sen myöhemmin käyttöönsä. Niiden tavoitteeseen pääseminen edellyttää usein kääntymistä useiden järjestelmien läpi ja tilien käyttöä. Vastustajat saattavat asentaa omia etäkäyttötyökalujaan sivuttaisliikkeeseen tai käyttää laillisia tunnuksia natiiviverkon ja käyttöjärjestelmän työkaluilla, jotka voivat olla salakavalampia.

Lateral Movement Techniques

tärkeää on keskittyä MITREN määritelmässä siihen, että lateral movement ei ole yksittäinen tekniikka, vaan joukko tekniikoita, jotka sisältävät kehittyneitä pysyviä uhkia (advanced persistent threats, Apt) ja hyödyntämisalueita, joita uhan toimijat käyttävät päästäkseen aiottuun kohteeseensa.

nämä tekniikat korostavat erilaisia haavoittuvuuksia ja menetelmiä, joita käytetään valtakirjojen varastamiseen ja etäpalvelujen hyödyntämiseen. Täydellisen listan lateraaliliiketekniikoista ja vaiheista kunkin tekniikan lieventämiseksi löydät MITREN sivuilta. Esimerkkejä sivuttaisliikkeistä ovat:

  • Pass the hash (PtH)
  • Pass the ticket (PtT)
  • Remote services
  • Internal spearphishing
  • SSH kaappaus
  • Windows admin shares

Detecting Lateral Movement

the key to sivusuuntaista liikettä osoittavien tekniikoiden havaitseminen on sen tajuamista, että tällaisen toiminnan tunnistamiseen on useampi kuin yksi keino. Monissa tapauksissa, se voi vaatia yhdistelmä lähestymistapoja tunnistaa, kun uhka toimija liikkuu koko ympäristössäsi.

vaikka sivuttaisliikkeen havaitseminen ympäristössäsi ei ole yksinkertainen tehtävä, on olemassa useita menetelmiä, jotka voivat auttaa sinua varoittamaan epäilyttävästä toiminnasta, joka liittyy sivuttaisliiketekniikoihin, ja tarjoamaan kontekstin, joka tukee tutkimusprosessia.

käyttämällä sekä reaaliaikaista seurantaa että käyttäytymisanalyysiä voit välittömästi tunnistaa potentiaalisen haitallisen toiminnan ja tutkia tällaista toimintaa kontekstuaalisten todisteiden avulla. Let ’ s murtaa mitä nämä kaksi kykyä ovat paremmin ymmärtää, miten ne toimivat yhdessä.

reaaliaikainen seuranta (hälytys)

tietojen tehokas kerääminen, normalisointi ja korrelointi eri ympäristöissä tarjoaa reaaliaikaisen hälytyksen, joka voi tunnistaa epäilyttävän toiminnan, joka vaatii lisätutkimuksia. Kokoamalla hälytyksiä, tämä tekniikka voi auttaa tarkkailemaan etenemistä uhka reaaliajassa ja tarkastella pahentaa toimintaa, joka edelleen viittaa todelliseen uhkaan.

reaaliaikaista seurantaa käytettäessä voidaan soveltaa myös MITRE ATT&CK-kehykseen kartoittavia sääntöjä, jotka koskevat erityisesti sivusuuntaisia liiketekniikoita. Tarjoamalla sääntöjä kaikille tekniikoille puitteissa voidaan varmistaa, että olet kattaa kaikki mahdolliset alueet hyödyntämistä.

Behavioral Analysis (Investigation)

Behavioral analysis tarjoaa ainutlaatuisen katsauksen käyttäjien ja verkkoyhteisöjen toimintaan priorisoida ja käsitellä toimintaa, joka osoittaa merkittävää poikkeamaa normaalista käyttäytymisestä.

User and entity behavior analysis (UEBA) – ratkaisut käyttävät koneoppimista (ML) sekä kunkin käyttäjän ja entiteetin perustason (normaalin käyttäytymisen) määrittämiseen että siitä poikkeavan toiminnan merkitykseen. Näiden poikkeamien ymmärtäminen voi tarjota kontekstuaalista näyttöä, joka tukee epäilyttävän toiminnan ympärillä olevan hälytyksen tutkintaa.

koska jokainen havaitsemismenetelmä tarjoaa ainutlaatuisen perspektiivin ja sillä on erilaiset resurssi-ja ajoitusvaatimukset, on tärkeää, ettei ole riippuvainen vain yhdestä menetelmästä, joka saattaa olla oikea lähestymistapa jokaiseen skenaarioon. Joissakin skenaarioissa saatetaan tarvita vain reaaliaikaista hälytystä lateraalisen liikkeen tekniikoiden havaitsemiseksi tehokkaasti, kun taas kehittyneemmät hyökkäykset voivat vaatia sekä hälytystä että tutkimusta käyttäytymisanalyysin avulla, jotta voidaan luotettavasti tunnistaa haitallinen toimija.

Lateral Movement Use Case

alla on esimerkki lateral movement attack-ja detect-sekvenssistä.

Attacker: Reconnaissance

  • hyökkääjä käynnistää tiedustelun ja tiedustelun keräämisen käyttäen erilaisia työkaluja kuten OpenVAS, Nmap, Shodan jne.

Hyökkääjä: Exploit

  • hyökkääjä hyödyntää tiedustelun aikana tunnistettua haavoittuvuutta saadakseen alustavan pääsyn.

Attacker: Credential Theft

  • hyökkääjä käyttää sisäistä keihäänkalastustekniikkaa hyväkseen muiden käyttäjien kanssa samassa organisaatiossa ja saa suuremman käyttöoikeuden.

SecOps: Alkuhälytys

  • Korrelaatiosääntö käynnistyi välittömästi tietojenkalastelumittareiden ja hälytysten vuoksi
  • uusi tapaus luotu
  • tutkimus aloitettu

Hyökkääjä: Privilege Escalation

  • onnistuneen keihästysryöstön jälkeen hyökkääjä yrittää laajentaa etuoikeuksia päästäkseen aiottuun kohteeseen.

SecOps: ylimääräinen hälytys laukaistu

  • hälytys laukeaa oikeuksien muuttamisen vuoksi.
  • Uusi kuulutus lisätään olemassa olevaan tapaukseen.
  • SecOps jatkaa tutkimusta käyttäen käyttäytymisanalyysia poikkeavan toiminnan tunnistamiseksi ja kontekstin lisäämiseksi olemassa oleviin hälytyksiin.

Hyökkääjä: Tietojen poistuminen

  • hyökkääjä käynnistää RDP-istunnon etäkäyttääkseen kohdennettua palvelinta.
  • hyökkääjä katselee arkaluontoisia tietoja kohdepalvelimella.
  • hyökkääjä alkaa kopioida tiedostoja palvelimelta.

SecOps: ylimääräinen hälytys lauennut ja vaste

  • hälytys laukeaa arkaluonteisten tiedostojen käytön vuoksi.
  • hälytys laukeaa tiedoston kopioinnin vuoksi.
  • uusia hälytyksiä lisätään olemassa olevaan tapaukseen, josta on nyt riittävästi näyttöä korjaamisen aloittamiseksi.
  • SecOps käynnistää automaattisen toiminnon käyttäjän RDP-istunnon katkaisemiseksi ja käyttäjän sulkemiseksi palvelimesta.

sivusuuntaisen liikkeen estäminen

sen ajan lyhentäminen, joka tiimiltäsi kuluu sivusuuntaisen liikkeen havaitsemiseen ja siihen reagoimiseen, laskee uhkan tekijän mahdollisuuksia liikkua verkossasi ja päästä lopulta käsiksi arkaluonteisiin tietoihin. UEBA-ratkaisut, joissa yhdistyvät turvallisuusorkestrointi -, automaatio-ja reagointivalmiudet (SOAR), voivat auttaa tiimiäsi tunnistamaan nopeasti kaiken siihen liittyvän haitallisen toiminnan nopeaa havaitsemista ja reagointia varten.

Katso on-demand-webinaarimme saadaksesi lisätietoja UEBA-markkinoista ja siitä, miten se voi antaa tiimillesi näkyvyyttä sisäpiiriuhkiin täällä.



+