Oldalirányú mozgás és annak észlelése | LogRhythm

lehet, hogy hallott már az oldalirányú mozgás fogalmáról a biztonsági műveletek összefüggésében, és általános elképzelése van arról, hogy a fenyegetések szereplői hogyan használják ezt a taktikát az adataihoz való hozzáférés érdekében. De mi is pontosan az oldalirányú mozgás? Hogyan befolyásolja a szervezet biztonsági műveleteit?

mi az oldalirányú mozgás?

kezdjük a fogalommeghatározással MITRE att& CK 6 oldalirányú mozgást biztosít:

az oldalirányú mozgás olyan technikákból áll, amelyeket az ellenfelek használnak a hálózat távoli rendszereinek belépésére és vezérlésére. Az elsődleges céljuk követése gyakran megköveteli a hálózat feltárását, hogy megtalálják a céljukat, majd hozzáférést szerezzenek hozzá. A célok elérése gyakran magában foglalja a több rendszeren keresztüli elfordulást és a számlákhoz való hozzáférést. Az ellenfelek telepíthetik saját távoli hozzáférési eszközeiket az oldalirányú mozgás megvalósításához, vagy legitim hitelesítő adatokat használhatnak natív hálózati és operációs rendszer eszközökkel, amelyek lopakodóbbak lehetnek.

oldalirányú mozgási technikák

MITRE definícióján belül az a fontos, hogy az oldalirányú mozgás nem egyetlen technika, hanem olyan technikák összessége, amelyek magukban foglalják a fejlett tartós fenyegetéseket (Apt) és a fenyegetés szereplői által használt kizsákmányolási területeket, hogy hozzáférjenek a tervezett célpontjukhoz.

ezek a technikák kiemelik a hitelesítő adatok ellopására és a távoli szolgáltatások kihasználására használt különböző sebezhetőségeket és módszereket. Az oldalirányú mozgási technikák teljes listáját és az egyes technikák enyhítésének lépéseit a MITRE honlapján találja. Az oldalirányú mozgás példái a következők:

  • Pass a hash (PtH)
  • Pass a jegy (PtT)
  • kiaknázása távoli szolgáltatások
  • belső spearphishing
  • SSH eltérítés
  • Windows admin részvények

detektálása oldalirányú mozgás

a kulcs a az oldalirányú mozgásra utaló technikák észlelése annak felismerése, hogy az ilyen típusú tevékenység azonosítására egynél több megközelítés létezik. Sok esetben megközelítések kombinációjára lehet szükség annak azonosításához, hogy egy fenyegetési szereplő mikor mozog az egész környezetben.

bár az oldalirányú mozgás észlelése a környezetben nem egyszerű feladat, számos módszer segíthet figyelmeztetni az oldalirányú mozgás technikáival kapcsolatos gyanús tevékenységekre, és olyan kontextust biztosít, amely támogatja a vizsgálati folyamatot.

valós idejű megfigyeléssel és viselkedéselemzéssel azonnal azonosíthatja a potenciálisan rosszindulatú tevékenységeket, és az ilyen tevékenységeket kontextuális bizonyítékokkal vizsgálhatja meg. Bontsuk le pontosan, hogy mi ez a két képesség, hogy jobban megértsük, hogyan működnek együtt.

valós idejű megfigyelés (riasztás)

az adatok hatékony gyűjtése, normalizálása és korrelálása egy környezetben valós idejű riasztást biztosít, amely képes azonosítani a további vizsgálatot igénylő gyanús tevékenységeket. A riasztások összesítésével ez a technológia segíthet valós időben megfigyelni a fenyegetés előrehaladását, és megtekintheti az összetett tevékenységet, amely tovább jelzi a valódi fenyegetést.

valós idejű megfigyelés esetén olyan szabályokat is alkalmazhat, amelyek a MITRE att& CK keretrendszerre vonatkoznak, különös tekintettel az oldalirányú mozgási technikákra. A keretrendszer minden technikájára vonatkozó szabályok biztosítása biztosíthatja, hogy lefedje a kizsákmányolás minden lehetséges területét.

Behavioral Analysis (Investigation)

a Behavioral analysis egyedülálló képet nyújt a felhasználók és a hálózati entitások tevékenységéről, hogy rangsorolja és kezelje azokat a tevékenységeket, amelyek jelentős eltérést mutatnak a normál viselkedéstől.

Felhasználói és entitás viselkedéselemzési (UEBA) megoldások gépi tanulást (ML) használnak az egyes felhasználók és entitások alapvonalának (normál viselkedésének), valamint az alapvonaltól eltérő tevékenységek jelentőségének meghatározására. Ezen eltérések megértése kontextuális bizonyítékot szolgáltathat, amely alátámasztja a gyanús tevékenység körüli riasztás kivizsgálását.

mivel minden észlelési módszer egyedi perspektívát nyújt, és eltérő erőforrás-és időzítési követelményekkel rendelkezik, fontos, hogy ne csak egyetlen módszertől függjön, amely minden forgatókönyvhöz megfelelő megközelítés lehet. Egyes forgatókönyveknek csak valós idejű riasztásra lehet szükségük az oldalirányú mozgási technikák hatékony észleléséhez, míg a kifinomultabb támadások mind riasztást, mind viselkedési elemzéssel történő vizsgálatot igényelhetnek a rosszindulatú szereplő magabiztos azonosításához.

oldalirányú mozgás használati eset

az alábbiakban egy példa egy oldalirányú mozgás támadás és érzékeli szekvenciát.

támadó: felderítés

  • a támadó felderítést és felderítést kezdeményez olyan eszközök kombinációjával, mint az OpenVAS, az Nmap, a Shodan stb.

támadó: Exploit

  • a támadó kihasználja a felderítés során azonosított biztonsági rést, hogy kezdeti hozzáférést szerezzen.

támadó: hitelesítő adatok lopása

  • a támadó belső spearphishing technikát használ a szervezeten belüli más felhasználók kihasználására és nagyobb hozzáférésre.

SecOps: kezdeti riasztás

  • az adathalász indikátorok és a generált riasztás miatt azonnal kiváltott korrelációs szabály
  • új eset létrehozva
  • vizsgálat megindítva

támadó: Privilege Escalation

  • egy sikeres spearfishing exploit után a támadó megpróbálja kiterjeszteni a jogosultságokat, hogy hozzáférjen a tervezett célhoz.

SecOps: kiegészítő riasztást váltott

  • riasztást váltott miatt jogosultságok módosulnak.
  • egy meglévő esethez új riasztás kerül hozzáadásra.
  • a SecOps viselkedéselemzéssel folytatja a vizsgálatot, hogy azonosítsa a rendellenes tevékenységeket, és kontextust adjon a meglévő riasztásokhoz.

támadó: Adatszűrés

  • a támadó RDP munkamenetet kezdeményez a megcélzott kiszolgáló távoli elérése érdekében.
  • a támadó érzékeny adatokat tekint meg a célkiszolgálón.
  • a támadó megkezdi a fájlok másolását a kiszolgálóról.

SecOps: kiegészítő riasztás és válasz

  • az érzékeny fájlhozzáférés miatt riasztás lép fel.
  • riasztást vált ki a fájlmásolás miatt.
  • új riasztások kerülnek hozzáadásra egy meglévő esethez, amely már elegendő bizonyítékkal rendelkezik a kármentesítés megkezdéséhez.
  • a SecOps automatikus műveletet kezdeményez a felhasználó RDP munkamenetének leválasztására és a felhasználó kizárására a szerverről.

az oldalirányú mozgás megakadályozása

az oldalirányú mozgás észleléséhez és az arra való reagáláshoz szükséges idő csökkentése csökkenti annak az esélyét, hogy egy fenyegetőszereplő a hálózaton keresztül mozogjon, és végül hozzáférjen az érzékeny adatokhoz. A biztonsági szervezési, automatizálási és válaszadási (SOAR) képességeket integráló UEBA-megoldások segítségével csapata gyorsan azonosíthatja az összes kapcsolódó rosszindulatú tevékenységet a gyors észlelés és válaszadás érdekében.

nézze meg on-demand webináriumunkat, ahol többet tudhat meg az UEBA piacáról, és arról, hogy ez hogyan teheti láthatóvá csapatát a bennfentes fenyegetésekkel kapcsolatban.



+