być może słyszałeś o koncepcji ruchu bocznego w kontekście operacji bezpieczeństwa i masz ogólne pojęcie o tym, w jaki sposób podmioty zagrażające wykorzystują tę taktykę, aby uzyskać dostęp do danych. Ale czym dokładnie jest ruch boczny? Jaki to ma wpływ na operacje bezpieczeństwa w Twojej organizacji?
co to jest ruch boczny?
zacznijmy od definicji MITRE ATT& CK™ zapewnia ruch boczny:
ruch boczny składa się z technik, których przeciwnicy używają do wprowadzania i kontrolowania zdalnych systemów w sieci. Podążanie za ich głównym celem często wymaga zbadania sieci w celu znalezienia celu, a następnie uzyskania do niej dostępu. Osiągnięcie ich celu często wiąże się z przejściem przez wiele systemów i uzyskaniem dostępu do kont. Przeciwnicy mogą instalować własne narzędzia zdalnego dostępu, aby osiągnąć ruch boczny lub używać legalnych poświadczeń z natywnymi narzędziami sieciowymi i systemami operacyjnymi, które mogą być bardziej ukradkowe.
techniki ruchu bocznego
ważną rzeczą, na której należy skupić się w definicji MITRE, jest to, że ruch boczny nie jest pojedynczą techniką, ale zestaw technik, które obejmują zaawansowane trwałe zagrożenia (Apt) i obszary eksploatacji wykorzystywane przez podmioty zagrożenia w celu uzyskania dostępu do zamierzonego celu.
techniki te podkreślają różne luki w zabezpieczeniach i metody używane do kradzieży poświadczeń i wykorzystywania usług zdalnych. Pełną listę technik ruchu bocznego i etapów łagodzenia każdej techniki można znaleźć na stronie internetowej MITRE. Przykładami ruchu bocznego są:
- przekaż hash (PTH)
- przekaż bilet (PtT)
- wykorzystanie usług zdalnych
- wewnętrzne wyłudzanie spearphishing
- przechwytywanie SSH
- akcje administratora systemu Windows
Wykrywanie ruchu bocznego
klucz do wykrywania technik wskazujących na ruch boczny jest uświadomienie sobie, że istnieje więcej niż jedno podejście do identyfikacji tego rodzaju aktywności. W wielu przypadkach może to wymagać kombinacji podejść do identyfikacji, kiedy podmiot zagrożenia porusza się w twoim otoczeniu.
chociaż wykrywanie ruchu bocznego w twoim otoczeniu nie jest prostym zadaniem, istnieje wiele metod, które mogą pomóc w ostrzeganiu o podejrzanych działaniach związanych z technikami ruchu bocznego i zapewnić kontekst, który wspiera proces badania.
korzystając zarówno z monitorowania w czasie rzeczywistym, jak i analizy behawioralnej, możesz natychmiast zidentyfikować potencjalnie szkodliwą aktywność i zbadać ją za pomocą dowodów kontekstowych. Omówmy dokładnie, czym są te dwie możliwości, aby lepiej zrozumieć, jak działają razem.
monitorowanie w czasie rzeczywistym (alerty)
skuteczne zbieranie, normalizowanie i korelowanie danych w całym środowisku zapewnia alerty w czasie rzeczywistym, które mogą zidentyfikować podejrzaną aktywność wymagającą dalszego badania. Dzięki agregacji alertów ta technologia może pomóc obserwować postęp zagrożenia w czasie rzeczywistym i wyświetlać aktywność mieszania, która dodatkowo wskazuje na prawdziwe zagrożenie.
korzystając z monitorowania w czasie rzeczywistym, Możesz również zastosować zasady mapowania do ramy MITRE ATT & CK, w szczególności dotyczące technik ruchu bocznego. Zapewnienie zasad dla wszystkich technik w ramach może zapewnić pokrycie wszystkich potencjalnych obszarów eksploatacji.
analiza behawioralna (dochodzenie)
analiza behawioralna zapewnia unikalne spojrzenie na aktywność użytkowników i jednostek sieci w celu ustalenia priorytetów i zajęcia się aktywnością, która wykazuje znaczne odchylenie od normalnego zachowania.
rozwiązania analizy zachowań użytkowników i jednostek (UEBA) wykorzystują uczenie maszynowe (ML) do określenia zarówno poziomu odniesienia (normalnego zachowania) każdego użytkownika i jednostki, jak i znaczenia wszelkich działań, które odbiegają od tego poziomu odniesienia. Zrozumienie tych odchyleń może dostarczyć dowodów kontekstowych, które wspierają dochodzenie w sprawie alertu wokół podejrzanej aktywności.
ponieważ każda metoda wykrywania zapewnia unikalną perspektywę i ma różne wymagania dotyczące zasobów i czasu, ważne jest, aby nie polegać wyłącznie na jednej metodzie, która może, ale nie musi, być właściwym podejściem dla każdego scenariusza. Niektóre scenariusze mogą wymagać tylko alertów w czasie rzeczywistym, aby skutecznie wykryć techniki ruchu bocznego, podczas gdy bardziej wyrafinowane ataki mogą wymagać zarówno alertów, jak i dochodzenia poprzez analizę behawioralną, aby pewnie zidentyfikować złośliwego aktora.
przypadek użycia ruchu bocznego
poniżej znajduje się przykład ataku ruchu bocznego i sekwencji wykrywania.
atakujący: rekonesans
- atakujący inicjuje rekonesans i gromadzenie danych za pomocą kombinacji narzędzi takich jak OpenVAS, Nmap, Shodan itp.
: Exploit
- atakujący wykorzystuje lukę zidentyfikowaną podczas rozpoznania, aby uzyskać początkowy dostęp.
atakujący: kradzież poświadczeń
- atakujący używa wewnętrznej techniki spearphishingu, aby wykorzystać innych użytkowników w tej samej organizacji i uzyskać większy dostęp.
SecOps: początkowy Alert
- reguła korelacji uruchomiona natychmiast z powodu wskaźników phishingu i wygenerowanego alertu
- utworzono nową sprawę
- wszczęto dochodzenie
atakujący: Eskalacja przywilejów
- po udanym exploicie spearfishing, atakujący próbuje eskalować uprawnienia, aby uzyskać dostęp do zamierzonego celu.
SecOps: uruchomiony dodatkowy Alert
- alert jest uruchamiany z powodu zmiany uprawnień.
- Nowy alert jest dodawany do istniejącej sprawy.
- SecOps kontynuuje dochodzenie, wykorzystując analizę behawioralną w celu identyfikacji anomalnej aktywności i dodania kontekstu do istniejących alertów.
: Exfiltracja danych
- atakujący inicjuje sesję RDP, aby zdalnie uzyskać dostęp do docelowego serwera.
- atakujący widzi poufne dane na serwerze docelowym.
- atakujący rozpoczyna kopiowanie plików z serwera.
SecOps: wyzwalany dodatkowy Alert i odpowiedź
- alert jest wyzwalany z powodu poufnego dostępu do plików.
- alert jest wyzwalany z powodu kopiowania pliku.
- nowe alerty są dodawane do istniejącej sprawy, która ma teraz wystarczające dowody do rozpoczęcia naprawy.
- SecOps inicjuje automatyczne działanie w celu odłączenia sesji RDP użytkownika i zablokowania go z serwera.
zapobieganie ruchom bocznym
skrócenie czasu potrzebnego zespołowi na wykrycie i reagowanie na ruch boczny zmniejszy szanse na poruszanie się podmiotu zagrożonego w sieci i ostatecznie uzyskanie dostępu do poufnych danych. Rozwiązania UEBA, które integrują funkcje orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR), mogą pomóc zespołowi szybko zidentyfikować wszystkie związane z nimi złośliwe działania w celu szybkiego wykrywania i reagowania.
obejrzyj nasze webinarium na żądanie, aby dowiedzieć się więcej o rynku UEBA i o tym, jak może on zapewnić Twojemu zespołowi wgląd w zagrożenia wewnętrzne tutaj.
