u hebt misschien gehoord van het concept laterale beweging in het kader van beveiligingsoperaties en hebt een algemeen idee van hoe dreigingsactoren deze tactiek gebruiken om toegang te krijgen tot uw gegevens. Maar wat is zijwaartse beweging precies? En hoe beïnvloedt het de beveiligingsactiviteiten van uw organisatie?
Wat is zijdelingse beweging?
laten we beginnen met de definitie MITRE ATT&CK™ voorziet in zijdelingse beweging:Zijwaartse beweging bestaat uit technieken die tegenstanders gebruiken om systemen op afstand op een netwerk in te voeren en te besturen. Om hun primaire doel te bereiken, moet vaak het netwerk worden verkend om hun doel te vinden en er vervolgens toegang toe te krijgen. Het bereiken van hun doel betekent vaak draaien door meerdere systemen en het verkrijgen van toegang tot accounts. Tegenstanders kunnen hun eigen remote access tools installeren om laterale beweging te bereiken of legitieme referenties te gebruiken met native netwerk-en besturingssysteem tools, die stealthier kunnen zijn.
laterale bewegingstechnieken
binnen de definitie van MITRE is het belangrijk om aandacht te besteden aan het feit dat laterale beweging geen enkele techniek is, maar een reeks technieken die geavanceerde persistente bedreigingen (APTs) en exploitatiegebieden omvatten die door dreigingsactoren worden gebruikt om toegang te krijgen tot hun beoogde doel.
deze technieken benadrukken de verschillende kwetsbaarheden en methoden die worden gebruikt om referenties te stelen en diensten op afstand te exploiteren. U kunt de volledige lijst van zijdelingse bewegingstechnieken en stappen voor het beperken van elke techniek vinden op de website van MITRE. Voorbeelden van zijdelingse beweging zijn::
- Pass the hash (PtH)
- Pass the ticket (PtT)
- exploitatie van diensten op afstand
- Internal spearphishing
- SSH hijacking
- Windows admin shares
laterale beweging detecteren
de sleutel tot het detecteren van technieken die duiden op laterale beweging is zich realiseren dat er meer dan één aanpak is om dit type activiteit te identificeren. In veel gevallen, het kan een combinatie van benaderingen nodig om te identificeren wanneer een bedreiging actor beweegt in uw omgeving.
hoewel het detecteren van zijdelingse bewegingen in uw omgeving geen eenvoudige taak is, zijn er meerdere methoden die u kunnen helpen waarschuwen voor verdachte activiteiten met betrekking tot zijdelingse bewegingstechnieken en context bieden die het onderzoeksproces ondersteunt.
door zowel real-time monitoring als gedragsanalyse te gebruiken, kunt u onmiddellijk potentieel kwaadaardige activiteiten identificeren en deze met contextueel bewijs onderzoeken. Laten we precies uitzoeken wat deze twee mogelijkheden zijn om beter te begrijpen hoe ze samenwerken.
Real-Time Monitoring (Alerting)
het effectief verzamelen, normaliseren en correleren van gegevens in een omgeving zorgt voor real-time alerting die verdachte activiteiten kan identificeren die verder onderzoek vereisen. Door waarschuwingen samen te voegen, kan deze technologie helpen om de voortgang van een bedreiging in real-time te observeren en samengestelde activiteit te bekijken die verder wijst op een echte bedreiging.
bij het gebruik van real-time monitoring, kunt u ook regels toepassen die toewijzen aan het MITRE ATT&CK framework, specifiek rond laterale bewegingstechnieken. Het verstrekken van regels voor alle technieken in het kader kan ervoor zorgen dat je betrekking hebt op alle potentiële gebieden van exploitatie.Behavioral Analysis (Investigation)
Behavioral analysis geeft een unieke kijk op de activiteit van gebruikers en netwerkentiteiten om activiteiten die significant afwijken van normaal gedrag te prioriteren en aan te pakken.
user and entity behavior analysis (UEBA) oplossingen maken gebruik van machine learning (ML) om zowel de basislijn (normaal gedrag) van elke gebruiker en entiteit te bepalen als de significantie van elke activiteit die afwijkt van die basislijn. Inzicht in deze afwijkingen kan contextueel bewijs dat het onderzoek naar een waarschuwing rond verdachte activiteit ondersteunt bieden.
aangezien elke detectiemethode een uniek perspectief biedt en verschillende resource-en tijdsvereisten heeft, is het belangrijk om niet alleen afhankelijk te zijn van één enkele methode die al dan niet de juiste aanpak is voor elk scenario. Sommige scenario ‘ s kunnen alleen real-time alarmering nodig om efficiënt te detecteren laterale bewegingstechnieken, terwijl meer geavanceerde aanvallen zowel alarmering en onderzoek door gedragsanalyse nodig kunnen hebben om een kwaadaardige acteur met vertrouwen te identificeren.
laterale beweging Use Case
Hieronder is een voorbeeld van een laterale beweging aanval en detectie sequentie.
aanvaller: verkenning
- de aanvaller initieert verkenning en intel verzamelen met behulp van een combinatie van tools zoals OpenVAS, Nmap, Shodan, enz.
aanvaller: Exploit
- de aanvaller maakt gebruik van een kwetsbaarheid geïdentificeerd tijdens recon om de eerste toegang te krijgen.
aanvaller: Credential Theft
- de aanvaller gebruikt een interne spearphishing-techniek om andere gebruikers binnen dezelfde organisatie te exploiteren en meer toegang te krijgen.
SecOps: initiële waarschuwing
- Correlatieregel onmiddellijk geactiveerd vanwege phishing-indicatoren en gegenereerde waarschuwing
- nieuwe zaak aangemaakt
- onderzoek gestart
aanvaller: Privilege Escalation
- na een succesvolle spearfishing exploit probeert de aanvaller privileges te escaleren om toegang te krijgen tot het beoogde doel.
SecOps: extra waarschuwing getriggerd
- een waarschuwing wordt getriggerd omdat bevoegdheden worden gewijzigd.
- een nieuwe signalering wordt toegevoegd aan een bestaande zaak.
- SecOps zet het onderzoek voort met behulp van gedragsanalyse om abnormale activiteit te identificeren en context toe te voegen aan bestaande waarschuwingen.
aanvaller: Data Exfiltration
- de aanvaller initieert RDP-sessie om op afstand toegang te krijgen tot de beoogde server.
- de aanvaller bekijkt gevoelige gegevens op de doelserver.
- de aanvaller begint bestanden van de server te kopiëren.
SecOps: aanvullende waarschuwing en respons
- een waarschuwing wordt geactiveerd vanwege gevoelige bestandstoegang.
- er wordt een waarschuwing geactiveerd als het bestand wordt gekopieerd.
- nieuwe signaleringen worden toegevoegd aan een bestaande zaak, die nu voldoende bewijs heeft om met de sanering te beginnen.
- SecOps Start een geautomatiseerde actie om de RDP-sessie van de gebruiker te verbreken en de gebruiker uit de server te sluiten.
laterale beweging voorkomen
door de tijd die uw team nodig heeft om laterale beweging te detecteren en erop te reageren, wordt de kans kleiner dat een dreigingsactor zich over uw netwerk verplaatst en uiteindelijk toegang krijgt tot gevoelige gegevens. UEBA-oplossingen die beveiligingsorkestratie -, automatiserings-en responscapaciteiten (SOAR) integreren, kunnen uw team helpen om alle gerelateerde kwaadaardige activiteiten snel te identificeren voor een snelle detectie en respons.
Bekijk ons on-demand webinar voor meer informatie over de UEBA-markt en hoe het uw team inzicht kan geven in insiderdreigingen hier.