Du har kanskje hørt om begrepet lateral bevegelse innenfor rammen av sikkerhetsoperasjoner og har en generell ide om hvordan trusselaktører utnytter denne taktikken for å få tilgang til dataene dine. Men hva er lateral bevegelse? Og hvordan påvirker det organisasjonens sikkerhetsoperasjoner?
Hva Er Lateral Bevegelse?
La oss starte med definisjonen MITRE ATT& CK™ sørger for lateral bevegelse:
Lateral Bevegelse består av teknikker som motstandere bruker til å gå inn og kontrollere eksterne systemer på et nettverk. Å følge gjennom på deres primære mål krever ofte å utforske nettverket for å finne sitt mål og deretter få tilgang til det. Å nå sitt mål innebærer ofte å svinge gjennom flere systemer og få tilgang til kontoer. Motstandere kan installere sine egne fjerntilgangsverktøy for å oppnå Lateral Bevegelse eller bruke legitime legitimasjon med innfødte nettverks-og operativsystemverktøy, som kan være stealthier.
Laterale Bevegelsesteknikker
DET viktige å fokusere på INNENFOR MITRES definisjon er at lateral bevegelse ikke er en enkelt teknikk, men i stedet et sett med teknikker som inkluderer avanserte vedvarende trusler (APTs) og utnyttelsesområder som brukes av trusselaktører for å få tilgang til deres tiltenkte mål.
disse teknikkene fremhever de ulike sårbarhetene og metodene som brukes til å stjele legitimasjon og utnytte eksterne tjenester. DU finner hele listen over laterale bevegelsesteknikker og trinn for å redusere hver teknikk på MITRES nettsted. Eksempler på lateral bevegelse inkluderer:
- Pass hash (PtH)
- Pass billetten (PtT)
- Utnyttelse av eksterne tjenester
- Intern spearphishing
- SSH kapring
- Windows admin-aksjer
Oppdager Sidebevegelser
nøkkelen til Å Oppdage teknikker som indikerer Lateral Bevegelse Er Å Innse At Det Er Mer enn En Tilnærming til Å Identifisere Denne typen aktivitet. I mange tilfeller kan det kreve en kombinasjon av tilnærminger for å identifisere når en trussel skuespiller beveger seg gjennom hele miljøet.
selv om det er ingen enkel oppgave å oppdage sidebevegelser i omgivelsene dine, er det flere metoder som kan hjelpe deg med å varsle deg om mistenkelig aktivitet relatert til laterale bevegelsesteknikker og gi kontekst som støtter undersøkelsesprosessen.
ved å bruke både sanntidsovervåking og atferdsanalyse, kan du umiddelbart identifisere potensielt skadelig aktivitet og undersøke slik aktivitet med kontekstuelle bevis. La oss bryte ned nøyaktig hva disse to evnene er for å bedre forstå hvordan de jobber sammen.
Sanntidsovervåking (Varsling)
effektivt innsamling, normalisering og korrelering av data på tvers av et miljø gir sanntidsvarsling som kan identifisere mistenkelig aktivitet som trenger videre etterforskning. Ved å samle varsler kan denne teknologien bidra til å observere utviklingen av en trussel i sanntid og se sammensatt aktivitet som videre peker på en sann trussel.
når du bruker sanntidsovervåking, kan du også bruke regler som kartlegger TIL MITRE ATT& CK-rammeverket, spesielt rundt laterale bevegelsesteknikker. Å gi regler for alle teknikker under rammen kan sikre at du dekker alle potensielle utnyttelsesområder.
Behavioral Analysis (Investigation)
Behavioral analysis gir et unikt blikk på aktiviteten til brukere og nettverksenheter for å prioritere og adressere aktivitet som viser betydelig avvik fra normal oppførsel.
Ueba-løsninger (User and entity behavior analysis) bruker maskinlæring (ML) til å bestemme både baseline (normal oppførsel) for hver bruker og enhet og betydningen av enhver aktivitet som avviker fra den baseline. Å forstå disse avvikene kan gi kontekstuelle bevis som støtter undersøkelsen av et varsel om mistenkelig aktivitet.
med hver oppdagelsesmetode som gir et unikt perspektiv og har forskjellige ressurs-og tidskrav, er det viktig å ikke stole utelukkende på en enkelt metode som kanskje eller ikke er riktig tilnærming for hvert scenario. Noen scenarier kan bare trenge sanntidsvarsling for å effektivt oppdage laterale bevegelsesteknikker, mens mer sofistikerte angrep kan kreve både varsling og etterforskning gjennom atferdsanalyse for å trygt identifisere en ondsinnet skuespiller.
Lateral Movement Use Case
Nedenfor er et eksempel på en lateral bevegelse angrep og oppdage sekvens.
Angriper: Rekognosering
- angriperen starter recon og intel samle ved hjelp Av en kombinasjon av verktøy som OpenVAS, Nmap, Shodan, etc.
Angriper: Utnytte
- angriperen utnytter et sikkerhetsproblem identifisert under recon for å få første tilgang.
Angriper: Legitimasjonstyveri
- angriperen bruker en intern spearphishing-teknikk for å utnytte andre brukere i samme organisasjon og få større tilgang.
SecOps: Initial Alert
- Korrelasjonsregel utløst umiddelbart på grunn av phishing-indikatorer og varsel generert
- Ny sak opprettet
- Etterforskning igangsatt
Angriper: Privilegieskalering
- etter en vellykket undervannsfiske-utnyttelse forsøker angriperen å eskalere privilegier for å få tilgang til det tiltenkte målet.
SecOps: Tilleggsvarsel Utløst
- et varsel utløses på grunn av rettigheter som endres.
- et nytt varsel legges til i en eksisterende sak.
- SecOps fortsetter undersøkelsen ved hjelp av atferdsanalyse for å identifisere uregelmessig aktivitet og legge til kontekst til eksisterende varsler.
Angriper: Data Exfiltration
- angriperen starter RDP-økt for å få ekstern tilgang til den målrettede serveren.
- angriperen viser sensitive data på målserveren.
- angriperen begynner å kopiere filer fra serveren.
SecOps: Ekstra Varsel Utløst Og Svar
- et varsel utløses på grunn av sensitiv filtilgang.
- et varsel utløses på grunn av filkopiering.
- Nye varsler legges Til i en eksisterende sak, som nå har tilstrekkelig bevis for å starte utbedring.
- SecOps starter automatisert handling for å koble fra brukerens RDP-økt og låse brukeren ut av serveren.
Forebygging Av Sidebevegelser
Å Redusere tiden det tar teamet ditt å oppdage og reagere på sidebevegelser, reduserer sjansene for at en trusselaktør beveger seg over nettverket ditt og til slutt får tilgang til sensitive data. UEBA-løsninger som integrerer funksjoner for sikkerhetsorkestrering, automatisering og RESPONS (SOAR), kan hjelpe teamet ditt med å raskt identifisere all relatert skadelig aktivitet for rask gjenkjenning og respons.
Se vårt on-demand webinar for å lære mer om UEBA-markedet og hvordan det kan gi teamet ditt synlighet i insider-trusler her.