este posibil să fi auzit de conceptul de mișcare laterală în contextul operațiunilor de securitate și să aveți o idee generală despre modul în care actorii amenințării folosesc această tactică pentru a avea acces la datele dvs. Dar ce este exact mișcarea laterală? Și cum influențează operațiunile de securitate ale organizației dvs.?
ce este mișcarea laterală?
sa incepem cu definitia MITRE ATT &ck-ul prevede miscarea laterala:
mișcarea laterală constă în tehnici pe care adversarii le folosesc pentru a intra și controla sistemele la distanță dintr-o rețea. Urmărirea obiectivului lor principal necesită adesea explorarea rețelei pentru a-și găsi ținta și, ulterior, obținerea accesului la aceasta. Atingerea obiectivului lor implică adesea pivotarea prin mai multe sisteme și obținerea accesului la conturi. Adversarii își pot instala propriile instrumente de acces la distanță pentru a realiza mișcări laterale sau pot folosi acreditări legitime cu instrumente native de rețea și sistem de operare, care pot fi mai stealthier.
tehnici de mișcare laterală
lucrul important pe care trebuie să ne concentrăm în definiția lui MITRE este că mișcarea laterală nu este o singură tehnică, ci un set de tehnici care includ amenințări persistente avansate (apt) și zone de exploatare utilizate de actorii amenințării pentru a avea acces la ținta dorită.
aceste tehnici evidențiază diferitele vulnerabilități și metode utilizate pentru a fura acreditările și a exploata Serviciile la distanță. Puteți găsi lista completă a tehnicilor de mișcare laterală și pașii pentru atenuarea fiecărei tehnici pe site-ul MITRE. Exemple de mișcare laterală includ:
- treceți hash (PtH)
- treceți biletul (PtT)
- exploatarea serviciilor la distanță
- spearphishing intern
- SSH deturnarea
- Windows acțiuni admin
detectarea mișcare laterală
cheia pentru a detectarea tehnicilor care indică mișcarea laterală este realizarea faptului că există mai multe abordări pentru identificarea acestui tip de activitate. În multe cazuri, ar putea necesita o combinație de abordări pentru a identifica când un actor de amenințare se mișcă în mediul dvs.
în timp ce detectarea mișcării laterale în mediul dvs. nu este o sarcină simplă, există mai multe metode care vă pot ajuta să vă avertizați asupra activității suspecte legate de tehnicile de mișcare laterală și să oferiți un context care să sprijine procesul de investigare.
folosind atât monitorizarea în timp real, cât și analiza comportamentală, puteți identifica imediat activitatea potențial rău intenționată și puteți investiga o astfel de activitate cu dovezi contextuale. Să descompunem exact care sunt aceste două capacități pentru a înțelege mai bine cum funcționează împreună.
monitorizare în timp Real (alertare)
colectarea eficientă, normalizarea și corelarea datelor într-un mediu oferă alertare în timp real care poate identifica activitatea suspectă care necesită investigații suplimentare. Prin agregarea alertelor, această tehnologie poate ajuta la observarea progresiei unei amenințări în timp real și la vizualizarea activității compuse care indică în continuare o adevărată amenințare.
când utilizați monitorizarea în timp real, puteți aplica, de asemenea, reguli care se mapează la cadrul MITRE ATT& CK, în special în jurul tehnicilor de mișcare laterală. Furnizarea de reguli pentru toate tehnicile din cadrul cadrului vă poate asigura că acoperiți toate domeniile potențiale de exploatare.
analiza comportamentală (investigație)
analiza comportamentală oferă o privire unică asupra activității utilizatorilor și entităților de rețea pentru a acorda prioritate și a aborda activitatea care arată o abatere semnificativă de la comportamentul normal.
soluțiile de analiză a comportamentului utilizatorului și entității (UEBA) utilizează învățarea automată (ML) pentru a determina atât linia de bază (comportamentul normal) al fiecărui utilizator și entitate, cât și semnificația oricărei activități care se abate de la acea linie de bază. Înțelegerea acestor abateri poate oferi dovezi contextuale care susțin investigarea unei alerte în jurul unei activități suspecte.
cu fiecare metodă de detectare oferind o perspectivă unică și având cerințe diferite de resurse și de sincronizare, este important să nu depindem doar de o singură metodă care poate fi sau nu abordarea corectă pentru fiecare scenariu. Unele scenarii pot necesita doar alertare în timp real pentru a detecta eficient tehnicile de mișcare laterală, în timp ce atacurile mai sofisticate pot necesita atât alertare, cât și investigare prin analiză comportamentală pentru a identifica cu încredere un actor rău intenționat.
cazul de utilizare a mișcării laterale
mai jos este un exemplu de atac de mișcare laterală și de detectare a secvenței.
atacator: recunoaștere
- atacatorul inițiază recon și Intel colectarea folosind o combinație de instrumente, cum ar fi OpenVAS, Nmap, Shodan, etc.
atacator: Exploit
- atacatorul exploatează o vulnerabilitate identificată în timpul recon pentru a obține accesul inițial.
atacator: furt de acreditări
- atacatorul folosește o tehnică internă de spearphishing pentru a exploata alți utilizatori din cadrul aceleiași organizații și pentru a obține un acces mai mare.
SecOps: alertă inițială
- regulă de corelare declanșată imediat din cauza indicatorilor de phishing și alertă generată
- nou caz creat
- anchetă inițiată
atacator: Escaladarea privilegiilor
- după un exploit de pescuit subacvatic de succes, atacatorul încearcă să escaladeze privilegiile pentru a avea acces la ținta dorită.
SecOps: alertă suplimentară declanșată
- o alertă este declanșată din cauza privilegiilor modificate.
- se adaugă o nouă alertă la un caz existent.
- SecOps continuă investigația folosind analiza comportamentală pentru a identifica activitatea anormală și a adăuga context alertelor existente.
atacator: Exfiltrarea datelor
- atacatorul inițiază sesiunea RDP pentru a accesa de la distanță serverul vizat.
- atacatorul vizualizează date sensibile pe serverul țintă.
- atacatorul începe copierea fișierelor de pe server.
SecOps: alertă suplimentară declanșată și răspuns
- o alertă este declanșată din cauza accesului la fișiere sensibile.
- se declanșează o alertă din cauza copierii fișierului.
- noi alerte sunt adăugate la un caz existent, care are acum suficiente dovezi pentru a începe remedierea.
- SecOps inițiază o acțiune automată pentru a deconecta sesiunea RDP a utilizatorului și a bloca utilizatorul din server.
prevenirea mișcării laterale
reducerea timpului necesar echipei dvs. pentru a detecta și a răspunde la mișcarea laterală va reduce șansele ca un actor de amenințare să se deplaseze în rețeaua dvs. și, în cele din urmă, să obțină acces la date sensibile. Soluțiile UEBA care integrează capabilitățile de orchestrare, automatizare și răspuns de securitate (SOAR) vă pot ajuta echipa să identifice rapid toate activitățile rău intenționate aferente pentru detectarea și răspunsul rapid.
urmăriți webinarul nostru la cerere pentru a afla mai multe despre piața UEBA și cum poate oferi echipei dvs. vizibilitate asupra amenințărilor privilegiate aici.