du kanske har hört talas om begreppet lateral rörelse inom ramen för säkerhetsoperationer och har en allmän uppfattning om hur hotaktörer utnyttjar denna taktik för att få tillgång till dina data. Men vad exakt är lateral rörelse? Och hur påverkar det din organisations säkerhetsverksamhet?
Vad är Lateral rörelse?
låt oss börja med definitionen av MITRE att& CK Brasilien ger lateral rörelse:
Lateral rörelse består av tekniker som motståndare använder för att komma in och styra fjärrsystem i ett nätverk. Att följa upp deras primära mål kräver ofta att utforska nätverket för att hitta sitt mål och därefter få tillgång till det. Att nå sitt mål innebär ofta att svänga genom flera system och få tillgång till konton. Motståndare kan installera sina egna verktyg för fjärråtkomst för att utföra sidorörelser eller använda legitima referenser med inbyggda nätverks-och operativsystemverktyg, vilket kan vara smidigare.
Lateral Movement Techniques
det viktiga att fokusera på inom Mitres definition är att lateral rörelse inte är en enda teknik, utan istället en uppsättning tekniker som inkluderar avancerade persistenta hot (Apts) och exploateringsområden som används av hotaktörer för att få tillgång till sitt avsedda mål.
dessa tekniker belyser de olika sårbarheter och metoder som används för att stjäla referenser och utnyttja fjärrtjänster. Du kan hitta den fullständiga listan över sidorörelsetekniker och steg för att mildra varje teknik på Mitres webbplats. Exempel på lateral rörelse inkluderar:
- passera hash (PtH)
- passera biljetten (PtT)
- utnyttjande av fjärrtjänster
- Intern spearphishing
- SSH kapning
- Windows admin aktier
upptäcka sidorörelse
nyckeln till detekteringstekniker som indikerar lateral rörelse är att inse att det finns mer än ett sätt att identifiera denna typ av aktivitet. I många fall kan det kräva en kombination av metoder för att identifiera när en hotaktör rör sig i hela din miljö.
det är ingen enkel uppgift att upptäcka sidorörelse i din miljö, men det finns flera metoder som kan hjälpa dig att varna dig för misstänkt aktivitet relaterad till sidorörelsetekniker och ge sammanhang som stöder utredningsprocessen.
genom att använda både realtidsövervakning och beteendeanalys kan du omedelbart identifiera potentiellt skadlig aktivitet och undersöka sådan aktivitet med kontextuella bevis. Låt oss bryta ner exakt vad dessa två möjligheter är för att bättre förstå hur de fungerar tillsammans.
realtidsövervakning (Varning)
effektivt samla in, normalisera och korrelera data över en miljö ger realtidsvarning som kan identifiera misstänkt aktivitet som behöver ytterligare utredning. Genom att aggregera varningar kan denna teknik hjälpa till att observera utvecklingen av ett hot i realtid och visa sammansatt aktivitet som ytterligare pekar på ett verkligt hot.
när du använder realtidsövervakning kan du också tillämpa regler som kartlägger till MITRE att& CK-ramverket, specifikt kring sidorörelsetekniker. Att tillhandahålla regler för alla tekniker inom ramen kan säkerställa att du täcker alla potentiella exploateringsområden.
beteendeanalys (undersökning)
beteendeanalys ger en unik titt på aktiviteten hos användare och nätverksenheter för att prioritera och adressera aktivitet som visar signifikant avvikelse från normalt beteende.
user and entity behavior analysis (UEBA) – lösningar använder maskininlärning (ML) för att bestämma både baslinjen (normalt beteende) för varje användare och enhet och betydelsen av all aktivitet som avviker från den baslinjen. Att förstå dessa avvikelser kan ge kontextuella bevis som stöder utredningen av en varning kring misstänkt aktivitet.
med varje detekteringsmetod som ger ett unikt perspektiv och har olika resurs-och tidskrav är det viktigt att inte bara bero på en enda metod som kanske eller inte är rätt tillvägagångssätt för varje scenario. Vissa scenarier kan bara behöva realtidsvarning för att effektivt upptäcka sidorörelsetekniker medan mer sofistikerade attacker kan kräva både varning och utredning genom beteendeanalys för att säkert identifiera en skadlig skådespelare.
sidorörelse användningsfall
nedan är ett exempel på en sidorörelse attack och detektera sekvens.
angripare: spaning
- angriparen initierar recon och intel-insamling med hjälp av en kombination av verktyg som OpenVAS, Nmap, Shodan, etc.
angripare: Utnyttja
- angriparen utnyttjar en sårbarhet som identifierats under recon för att få initial åtkomst.
angripare: Referensstöld
- angriparen använder en intern spearphishing-teknik för att utnyttja andra användare inom samma organisation och få större åtkomst.
SecOps: Initial Varning
- Korrelationsregel utlöses omedelbart på grund av phishing-indikatorer och alert genererad
- nytt fall skapat
- undersökning initierad
angripare: Utökning av privilegier
- efter ett lyckat spearfishing-utnyttjande försöker angriparen eskalera privilegier för att få åtkomst till det avsedda målet.
SecOps: ytterligare varning utlöst
- en varning utlöses på grund av att privilegier ändras.
- en ny varning läggs till i ett befintligt fall.
- SecOps fortsätter undersökningen med hjälp av beteendeanalys för att identifiera avvikande aktivitet och lägga till sammanhang till befintliga varningar.
angripare: Data Exfiltrering
- angriparen initierar RDP-session för fjärråtkomst till den riktade servern.
- angriparen visar känsliga data på målservern.
- angriparen börjar kopiera filer från servern.
SecOps: ytterligare varning utlöst och svar
- en varning utlöses på grund av känslig filåtkomst.
- en varning utlöses på grund av filkopiering.
- nya varningar läggs till i ett befintligt fall, som nu har tillräckliga bevis för att påbörja sanering.
- SecOps initierar automatisk åtgärd för att koppla bort användarens RDP-session och låsa användaren ur servern.
förhindra sidorörelse
att minska tiden det tar ditt team att upptäcka och svara på sidorörelser minskar risken för att en hotaktör rör sig över ditt nätverk och så småningom får tillgång till känslig data. UEBA-lösningar som integrerar säkerhetsorkestrering, automatisering och svar (SOAR) – funktioner kan hjälpa ditt team att snabbt identifiera all relaterad skadlig aktivitet för snabb upptäckt och svar.
titta på vårt On-demand-webinar för att lära dig mer om UEBA-marknaden och hur det kan ge ditt team insyn i insiderhot här.