Você pode ter ouvido falar do conceito de movimento lateral no contexto de operações de segurança e possuir uma idéia geral de como ameaça atores aproveitam-se dessa tática para obter acesso aos seus dados. Mas o que é o movimento lateral? E como isso afeta as operações de segurança da sua organização?O que é o movimento Lateral?
vamos começar com a definição MITRE ATT & CK™ fornece o movimento lateral:
movimento Lateral consiste em técnicas que os adversários usam para entrar e controlar sistemas remotos em uma rede. A prossecução do seu objectivo primordial requer frequentemente a exploração da rede para encontrar o seu alvo e, subsequentemente, ter acesso a ele. Atingir o seu objectivo implica muitas vezes rodar através de múltiplos sistemas e obter acesso a contas. Os adversários podem instalar suas próprias ferramentas de acesso remoto para realizar movimentos laterais ou usar credenciais legítimas com as ferramentas nativas de rede e sistema operacional, que podem ser mais furtivos.
técnicas de movimento Lateral
a coisa importante a focar dentro da definição de MITRE é que o movimento lateral não é uma única técnica, mas sim um conjunto de técnicas que incluem ameaças persistentes avançadas (APTs) e áreas de exploração utilizadas por agentes de ameaça para obter acesso ao seu alvo pretendido.
estas técnicas destacam as várias vulnerabilidades e métodos usados para roubar credenciais e explorar serviços remotos. Você pode encontrar a lista completa de técnicas de movimento lateral e passos para mitigar cada técnica no site da MITRE. Exemplos de movimento lateral incluir:
- Passar o hash (PtH)
- Passar o bilhete (Ppf)
- Exploração de serviços remotos
- Interna de spearphishing
- SSH seqüestro
- Windows admin ações
Detecção de Movimento Lateral
A chave para detectar técnicas de indicativo de movimento lateral é perceber que há mais do que uma abordagem para a identificação deste tipo de atividade. Em muitos casos, pode exigir uma combinação de abordagens para identificar quando um agente de ameaça está se movendo em todo o seu ambiente.Apesar de detectar movimento lateral dentro do seu ambiente não ser tarefa simples, existem vários métodos que podem ajudar a alertá-lo para a atividade suspeita relacionada com técnicas de movimento lateral e fornecer contexto que suporta o processo de investigação.Usando monitorização em tempo real e análise comportamental, pode identificar imediatamente actividade potencialmente maliciosa e investigar essa actividade com evidência contextual. Vamos dividir exatamente o que essas duas capacidades são para entender melhor como eles trabalham juntos.
monitorização em tempo Real (alerta)
recolha eficaz, normalização e correlação de dados num ambiente fornece alerta em tempo real que pode identificar actividade suspeita que necessita de mais investigação. Ao agregar alertas, esta tecnologia pode ajudar a observar a progressão de uma ameaça em tempo real e ver a atividade de composição que aponta ainda mais para uma verdadeira ameaça.Ao usar a monitorização em tempo real, também pode aplicar regras que mapeiam a estrutura MITRE ATT&CK, especificamente em torno de técnicas de movimento lateral. Estabelecer regras para todas as técnicas no âmbito do framework pode garantir que você está cobrindo todas as áreas potenciais de exploração.
Análise Comportamental (investigação)
análise comportamental fornece um olhar único sobre a atividade dos usuários e Entidades de rede para priorizar e abordar a atividade que mostra desvio significativo do comportamento normal.
as soluções de Análise de comportamento do Usuário e da entidade (UEBA) usam a aprendizagem de máquinas (ML) para determinar tanto a linha de base (comportamento normal) de cada usuário e entidade e a significância de qualquer atividade que se desvie dessa linha de base. Compreender estes desvios pode fornecer evidências contextuais que suportam a investigação de um alerta em torno de atividade suspeita.
com cada método de detecção proporcionando uma perspectiva única e tendo diferentes requisitos de recursos e tempo, é importante não depender apenas de um único método que pode ou não ser a abordagem certa para cada cenário. Alguns cenários podem apenas precisar de alerta em tempo real para detectar eficientemente técnicas de movimento lateral, enquanto ataques mais sofisticados podem exigir tanto alerta e investigação através de análise comportamental para identificar com confiança um ator malicioso.
movimento Lateral caso de Uso
abaixo é um exemplo de um ataque de movimento lateral e detectar sequência.
atacante: reconhecimento
- o atacante inicia reconhecimento e coleta de informações usando uma combinação de ferramentas como OpenVAS, Nmap, Shodan, etc.
atacante: Explore
- o atacante explora uma vulnerabilidade identificada durante o reconhecimento para obter acesso inicial.
Attacker: Credential Theft
- the attacker uses an internal spearphishing technique to exploit other users within the same organization and gain greater access.
SecOps: Alerta Inicial
- Correlação regra acionado imediatamente devido ao phishing indicadores e alertas gerados
- Novo caso, criou
- Investigação iniciada
Invasor: Escalada de privilégios
- após uma exploração de pesca bem sucedida, o atacante tenta escalar privilégios para obter acesso ao alvo pretendido.
SecOps: alerta adicional desencadeado
- é desencadeado um alerta devido à modificação dos privilégios.
- um novo alerta é adicionado a um caso existente.
- SecOps continua a investigação usando análise comportamental para identificar a atividade anômala e adicionar contexto aos alertas existentes.
atacante: Exfiltração de dados
- o atacante inicia sessão RDP para acessar remotamente o servidor alvo.
- o atacante vê dados sensíveis no servidor de destino.
- o atacante começa a copiar arquivos do servidor.
SecOps: alerta adicional desencadeado e resposta
- é desencadeado um alerta devido ao acesso a ficheiros sensíveis.
- é desencadeado um alerta devido à cópia do ficheiro.São acrescentados novos alertas a um caso existente, que tem agora provas suficientes para dar início à reparação.
- SecOps inicia a ação automatizada para desligar a sessão RDP do Usuário e bloquear o Usuário para fora do servidor.
prevenir o movimento Lateral
reduzir o tempo que a sua equipa leva a detectar e responder ao movimento lateral irá diminuir as hipóteses de um agente de ameaça se deslocar através da sua rede e, eventualmente, ter acesso a dados sensíveis. As soluções UEBA que integram as capacidades de orquestração de segurança, automação e resposta (SOAR) podem ajudar sua equipe a identificar rapidamente todas as atividades maliciosas relacionadas para detecção e resposta rápida.
assista nosso webinar on-demand para saber mais sobre o mercado de UEBA e como ele pode dar visibilidade à sua equipe em ameaças internas aqui.
