Movimento laterale e come rilevarlo / LogRhythm

Potresti aver sentito parlare del concetto di movimento laterale nel contesto delle operazioni di sicurezza e possedere un’idea generale di come gli attori delle minacce sfruttano questa tattica per ottenere l’accesso ai tuoi dati. Ma cos’è esattamente il movimento laterale? E come influisce sulle operazioni di sicurezza della tua organizzazione?

Che cos’è il movimento laterale?

Iniziamo con la definizione MITRE ATT & CK™ prevede il movimento laterale:

Il movimento laterale consiste in tecniche che gli avversari usano per entrare e controllare sistemi remoti su una rete. Seguire il loro obiettivo primario spesso richiede di esplorare la rete per trovare il loro obiettivo e successivamente accedervi. Raggiungere il loro obiettivo spesso comporta il pivoting attraverso più sistemi e l’accesso agli account. Gli avversari potrebbero installare i propri strumenti di accesso remoto per eseguire Movimenti laterali o utilizzare credenziali legittime con strumenti di rete e sistema operativo nativi, che potrebbero essere più stealthier.

Tecniche di movimento laterale

La cosa importante su cui concentrarsi all’interno della definizione di MITRE è che il movimento laterale non è una singola tecnica, ma piuttosto un insieme di tecniche che includono advanced Persistent threats (APT) e aree di sfruttamento utilizzate dagli attori delle minacce per ottenere l’accesso al loro obiettivo previsto.

Queste tecniche evidenziano le varie vulnerabilità e metodi utilizzati per rubare le credenziali e sfruttare i servizi remoti. Puoi trovare l’elenco completo delle tecniche di movimento laterale e dei passaggi per mitigare ogni tecnica sul sito Web di MITRE. Esempi di movimento laterale includono:

  • Passare l’hash (PtH)
  • Passare il biglietto (PtT)
  • Sfruttamento di servizi a distanza
  • Interno di spear-phishing
  • SSH dirottamento
  • Windows admin azioni

Rilevazione di Movimento Laterale

La chiave per la rilevazione di tecniche indicativo di movimento laterale è rendersi conto che c’è più di un approccio per l’identificazione di questo tipo di attività. In molti casi, potrebbe essere necessaria una combinazione di approcci per identificare quando un attore di minacce si sta muovendo in tutto l’ambiente.

Mentre rilevare il movimento laterale all’interno del proprio ambiente non è un compito semplice, esistono diversi metodi che possono aiutare a avvisare l’utente di attività sospette relative alle tecniche di movimento laterale e fornire un contesto che supporti il processo di indagine.

Utilizzando sia il monitoraggio in tempo reale che l’analisi comportamentale, è possibile identificare immediatamente attività potenzialmente dannose e indagare su tale attività con prove contestuali. Analizziamo esattamente quali sono queste due funzionalità per capire meglio come funzionano insieme.

Monitoraggio in tempo reale (Alerting)

La raccolta, la normalizzazione e la correlazione dei dati in un ambiente forniscono avvisi in tempo reale in grado di identificare attività sospette che necessitano di ulteriori indagini. Aggregando gli avvisi, questa tecnologia può aiutare a osservare la progressione di una minaccia in tempo reale e visualizzare l’attività di compounding che punta ulteriormente a una vera minaccia.

Quando si utilizza il monitoraggio in tempo reale, è anche possibile applicare regole che si mappano al quadro MITRE ATT&CK, in particolare sulle tecniche di movimento laterale. Fornire regole per tutte le tecniche nell’ambito del framework può garantire che tu stia coprendo tutte le potenziali aree di sfruttamento.

Analisi comportamentale (Indagine)

L’analisi comportamentale fornisce uno sguardo unico all’attività degli utenti e delle entità di rete per dare priorità e indirizzare l’attività che mostra una deviazione significativa dal comportamento normale.

Le soluzioni UEBA (User and Entity Behavior Analysis) utilizzano il machine learning (ML) per determinare sia la linea di base (comportamento normale) di ciascun utente ed entità sia il significato di qualsiasi attività che si discosta da tale linea di base. La comprensione di queste deviazioni può fornire prove contestuali che supportano l’indagine su un avviso relativo ad attività sospette.

Con ogni metodo di rilevamento che fornisce una prospettiva unica e con requisiti di risorse e tempi diversi, è importante non dipendere esclusivamente da un singolo metodo che può o non può essere l’approccio giusto per ogni scenario. Alcuni scenari possono richiedere solo avvisi in tempo reale per rilevare in modo efficiente le tecniche di movimento laterale, mentre gli attacchi più sofisticati possono richiedere sia avvisi che indagini attraverso l’analisi comportamentale per identificare con sicurezza un attore dannoso.

Caso d’uso del movimento laterale

Di seguito è riportato un esempio di sequenza di attacco e rilevamento del movimento laterale.

Attaccante: Ricognizione

  • L’attaccante avvia ricognizione e raccolta intel utilizzando una combinazione di strumenti come OpenVAS, Nmap, Shodan, ecc.

Attaccante: Exploit

  • L’attaccante sfrutta una vulnerabilità identificata durante la ricognizione per ottenere l’accesso iniziale.

Attaccante: furto di credenziali

  • L’attaccante utilizza una tecnica di spearphishing interna per sfruttare altri utenti all’interno della stessa organizzazione e ottenere un maggiore accesso.

SecOps: Avviso iniziale

  • Regola di correlazione attivata immediatamente a causa di indicatori di phishing e avviso generato
  • Nuovo caso creato
  • Indagine avviata

Attaccante: Escalation dei privilegi

  • Dopo un exploit di pesca subacquea riuscito, l’utente malintenzionato tenta di aumentare i privilegi per accedere al bersaglio previsto.

SecOps: Avviso aggiuntivo attivato

  • Un avviso viene attivato a causa della modifica dei privilegi.
  • Un nuovo avviso viene aggiunto a un caso esistente.
  • SecOps continua l’indagine utilizzando l’analisi comportamentale per identificare attività anomale e aggiungere contesto agli avvisi esistenti.

Attaccante: Exfiltration dei dati

  • L’utente malintenzionato avvia la sessione RDP per accedere in remoto al server di destinazione.
  • L’attaccante visualizza i dati sensibili sul server di destinazione.
  • L’utente malintenzionato inizia a copiare i file dal server.

SecOps: Avviso aggiuntivo attivato e risposta

  • Un avviso viene attivato a causa dell’accesso ai file sensibili.
  • Viene attivato un avviso a causa della copia del file.
  • Nuovi avvisi vengono aggiunti a un caso esistente, che ora ha prove sufficienti per iniziare la correzione.
  • SecOps avvia un’azione automatica per disconnettere la sessione RDP dell’utente e bloccare l’utente dal server.

Prevenire il movimento laterale

Ridurre il tempo necessario al team per rilevare e rispondere al movimento laterale ridurrà le probabilità che un attore di minacce si muova attraverso la rete e alla fine ottenga l’accesso a dati sensibili. Le soluzioni UEBA che integrano funzionalità di orchestrazione della sicurezza, automazione e risposta (SOAR) possono aiutare il team a identificare rapidamente tutte le attività dannose correlate per un rilevamento e una risposta rapidi.

Guarda il nostro webinar on-demand per saperne di più sul mercato UEBA e su come può dare visibilità al tuo team sulle minacce interne qui.



+