Co to jest lateral movement? 

Zlikwiduj silosy danych i oprzyj system ochrony na jednej platformie cyberbezpieczeństwa.

Lateral Movement

Ruch boczny to proces wykorzystywany przez atakujących do głębszego poruszania się po zainfekowanej sieci po uzyskaniu dostępu do wrażliwych danych, luk w zabezpieczeniach lub kontroli dodatkowych systemów. Zamiast natychmiast atakować wrażliwe dane lub krytyczne systemy, atakujący poświęcają czas na zbadanie sieci, zwiększenie uprawnień, identyfikację wartościowych celów i ustalenie trwałości sieci. Takie obliczane podejście jest powszechne w przypadku zaawansowanych trwałych zagrożeń (APT) i innych zaawansowanych cyberataków

Nawet jeśli zostanie wykryte naruszenie, atakujący może utrzymać swoją obecność, aby przesunąć się w bok w sieci, aby uniknąć wykrycia. Jeśli atakujący uda im się ustanowić wytrwałość w sieci i uniknąć wykrycia, mogą wyrządzić poważne szkody organizacji poprzez ataki ransomware, eksfiltrację danych lub szpiegostwo. 

Kliknij tutaj, aby dowiedzieć się, jak cyberprzestępcy uciekają przed atakami.

Etapy ruchu bocznego 

Ataki na ruch boczny to nie pojedynczy etap, ale wieloetapowy proces, który atakujący starannie przeprowadzają w celu infiltracji i wykorzystania sieci. Poniżej przedstawiono typowe etapy ruchu bocznego: 

Rozpoznanie  

Na etapie rozpoznania atakujący rozpocznie od mapowania architektury sieci, zidentyfikowania podłączonych urządzeń i wyszukania wartościowych celów. Atakujący będą badać i mapować sieć, w tym lokalizację wrażliwych danych, poświadczeń i konfiguracji zabezpieczeń. Jest to kluczowy etap atakującego, ponieważ pomaga mu zrozumieć relacje między systemami i zaplanować kolejne kroki, unikając jednocześnie wykrywania z systemów bezpieczeństwa. 

Gromadzenie danych uwierzytelniających

Po zakończeniu rozpoznania atakujący często koncentrują się na zbieraniu danych uwierzytelniających, takich jak nazwy użytkownika, hasła lub haszta z zainfekowanych systemów. Powszechnymi metodami uzyskiwania dostępu do kont o wyższych uprawnieniach są narzędzia do dumpingu poświadczeń, takie jak Mimikatz lub bezpośrednie ataki na słabe hasła. Te skradzione dane uwierzytelniające pozwalają hakerom podszywać się pod prawdziwych użytkowników, umożliwiając im przemieszczanie się w bok po sieci bez podejrzeń. 

Eskalacja uprawnień  

Eskalacja uprawnień polega na wykorzystaniu luk w zabezpieczeniach oprogramowania, błędnych konfiguracjach lub słabych kontrolach dostępu w celu uzyskania uprawnień wyższego poziomu. Atakujący mogą wykorzystać błędy w aplikacji, aby uzyskać uprawnienia administracyjne w celu uzyskania nieograniczonego dostępu do krytycznych systemów. Eskalacja uprawnień jest kluczowym etapem ataku ruchu bocznego, ponieważ znacznie zwiększa zdolność atakującego do głębszego wejścia do sieci. 

Ruch boczny  

Gdy atakujący będą mieli wystarczające poświadczenia i uprawnienia, mogą przejść do ruchu bocznego. Obejmuje to przejście z jednego systemu do drugiego w sieci, dostęp do zasobów i przygotowanie się do końcowych etapów ataku, a także wypatrywanie środków zaradczych, z których może skorzystać zespół ds. bezpieczeństwa i które mogą go powstrzymać. Atakujący mogą używać legalnych narzędzi, takich jak Remote Desktop Protocol (RDP), PowerShell lub Windows Management Instrumentation (WMI), aby połączyć się z normalnymi operacjami i uniknąć wykrycia. Atakujący mogą również zainstalować tylne drzwi lub ustanowić mechanizmy wytrwałości, aby utrzymać dostęp do sieci, nawet jeśli ich początkowy punkt wejścia zostanie wykryty i zamknięty. 

Dostęp i realizacja celów  

Po przejściu w bok atakujący docierają do systemów docelowych, w których mogą znajdować się wrażliwe dane, własność intelektualna lub krytyczna infrastruktura. Ataki mogą również spowodować uruchomienie złośliwego oprogramowania, takiego jak ransomware, w celu zaszyfrowania plików, wydobycia poufnych danych lub wyłączenia systemów w celu zakłócenia działania. Ten etap jest często kulminacją procesu ruchu bocznego. Im dłużej atakujący mogą utrzymać dostęp do sieci bez wykrycia, tym większe szkody mogą wyrządzić. 

Jakie rodzaje ataków wykorzystują ruch boczny? 

Ataki ransomware  

Ruch boczny jest kluczowym elementem kampanii ransomware. Atakujący przechodzą między systemami, aby rozprzestrzeniać złośliwe oprogramowanie, maksymalizując jego wpływ przed zaszyfrowaniem plików i żądaniem płatności. Strategia ta zwiększa prawdopodobieństwo zapłacenia okupu, ponieważ cała organizacja może zostać sparaliżowana. 

Eksfiltracja danych  

Atakujący często polegają na ruchu bocznym w celu zlokalizowania i wyodrębnienia wrażliwych informacji. Dzięki infiltracji różnych części sieci mogą identyfikować cenne dane, takie jak własność intelektualna, dokumentacja finansowa lub dane umożliwiające identyfikację tożsamości (PII). Pomyślna eksfiltracja danych może spowodować poważne szkody dla reputacji i finansów organizacji. 

Szpiegostwo i zaawansowane trwałe zagrożenia (APT)  

Podmioty sponsorowane przez państwo i zaawansowane grupy hakerskie wykorzystują ruch boczny do infiltracji systemów o wysokiej wartości przez długi czas. Celem tych ataków jest utrzymanie stałej obecności w sieci, gromadzenie informacji i naruszanie krytycznej infrastruktury bez konieczności ich wykrywania. 

Zakażenie botnetu  

W kampaniach botnetowych ruch boczny umożliwia atakującym naruszenie bezpieczeństwa dodatkowych urządzeń w sieci. Zainfekowanie wielu punktów końcowych pozwala na rozszerzenie botnetu i zwiększenie skali ataków, co może obejmować ataki typu rozproszona odmowa usługi (DDoS) lub kampanie spamowe na dużą skalę. 

Wykrywanie ruchu bocznego 

Monitoruj dzienniki uwierzytelniania  

Dzienniki uwierzytelniania są kluczowym źródłem informacji do wykrywania ruchu bocznego. Znaki takie jak powtarzające się nieudane logowania, udane logowanie z nietypowych lokalizacji lub nieoczekiwany dostęp w nietypowych godzinach pracy mogą wskazywać na złośliwą aktywność. Regularne przeglądanie tych dzienników pomaga identyfikować nieautoryzowane próby dostępu. 

Korzystanie z systemów SIEM  

Systemy Security Information and Event Management (SIEM) agregują dane dziennika z całej sieci, zapewniając scentralizowaną platformę do analizy. Systemy te wykorzystują zaawansowane analizy do wykrywania wzorców, które mogą wskazywać na ruch poprzeczny, taki jak zwiększanie uprawnień lub nieprawidłowe próby dostępu. 

Korzystaj z rozwiązań EDR i XDR

Narzędzia Endpoint Detection and Response (EDR) monitorują poszczególne urządzenia pod kątem podejrzanych działań, takich jak nieautoryzowane polecenia administracyjne. Jednak same EDR mogą nie wykryć ruchu bocznego w pełni, zwłaszcza gdy atakujący stosują taktyki unikania lub wyłączają ochronę.  Rozszerzone wykrywanie i reagowanie (XDR) umożliwia integrację danych z punktów końcowych, sieci, serwerów i środowisk chmurowych. Dzięki korelacji działań w tych warstwach XDR poprawia widoczność i pomaga wykrywać zagrożenia, które mogą ominąć EDR, co czyni je kluczowym rozwiązaniem do identyfikacji ruchu bocznego. 

Analiza ruchu sieciowego  

Narzędzia do analizy ruchu sieciowego (NTA) pomagają identyfikować nieregularne przepływy danych w sieci. Na przykład nieoczekiwane transfery plików między niepowiązanymi systemami lub nadmierne przesyłanie danych do zewnętrznych miejsc docelowych są silnymi wskaźnikami ruchu bocznego. 

Ustalenie zasad zachowania  

Tworząc podstawy normalnej aktywności, organizacje mogą łatwiej identyfikować anomalie. Na przykład nagły skok użycia PowerShell w systemie, który rzadko z niego korzysta, może wskazywać na obecność atakującego. Monitorowanie poziomu bazowego wymaga spójnego rejestrowania i analizy, aby zachować skuteczność. 

Jak zapobiegać Movement

Wymuś segmentację sieci 

Podział sieci na odizolowane segmenty ogranicza zdolność atakującego do swobodnego przemieszczania się między systemami. Na przykład oddzielenie krytycznej infrastruktury od urządzeń ogólnego przeznaczenia zapewnia, że nawet jeśli atakujący naruszy jeden segment, jego wpływ zostanie ograniczony. 

Architektura Zero-Trust 

Zasady Zero-Trust wymagają ścisłej weryfikacji każdego żądania, niezależnie od tego, czy pochodzi ono z sieci, czy spoza niej. Takie podejście minimalizuje zależność od ochrony obwodowej i wymusza szczegółowe kontrole dostępu. 

Wdrożenie uwierzytelniania wieloskładnikowego (MFA) 

MFA dodaje dodatkową warstwę zabezpieczeń do uwierzytelniania użytkowników, przez co hakerom trudniej jest wykorzystać skradzione dane uwierzytelniające. Wymagając od użytkowników weryfikacji tożsamości za pomocą wielu czynników, organizacje zmniejszają skuteczność kradzieży danych uwierzytelniających. 

Regularna aktualizacja i aktualizacja systemów 

Niezmienione luki w zabezpieczeniach zapewniają atakującym łatwe wprowadzanie danych. Utrzymywanie spójnego harmonogramu poprawek zapewnia ochronę systemów przed znanymi exploitami, zmniejszając ryzyko ruchu bocznego. 

Limit uprawnień 

Zastosowanie zasady najmniejszych uprawnień ogranicza dostęp użytkownika tylko do tego, co jest niezbędne dla jego ról. Ogranicza to zdolność atakującego do eskalowania uprawnień lub dostępu do wrażliwych danych, jeśli naraża on konto. 

Przeprowadzenie szkolenia dla pracowników 

Edukowanie pracowników na temat prób phishingu i taktyk socjotechnicznych pomaga zmniejszyć ryzyko wstępnego naruszenia bezpieczeństwa. Regularne sesje szkoleniowe zapewniają, że pracownicy są świadomi pojawiających się zagrożeń i rozumieją najlepsze praktyki w zakresie utrzymania bezpieczeństwa. 

Zapobieganie nieuprawnionemu dostępowi za pomocą silnych haseł

Silne, unikalne hasła mają kluczowe znaczenie dla zapobiegania nieupoważnionemu dostępowi do sieci. Słabe lub ponownie używane hasła są powszechnym celem atakujących w celu zwiększenia uprawnień lub przejścia między systemami. Egzekwowanie skomplikowanych zasad haseł, wdrażanie uwierzytelniania wieloskładnikowego (MFA) i regularne rotowanie poświadczeń może zmniejszyć to ryzyko. Zachęcanie menedżerów do korzystania z haseł pomaga zapewnić bezpieczeństwo i unikalność haseł. Ponadto zastosowanie zasady najmniejszych uprawnień zapewnia użytkownikom dostęp tylko do potrzebnych zasobów, co dodatkowo ogranicza nieautoryzowany dostęp.

Powiązane informacje o ruchu bocznym 

image

W jaki sposób osoby atakujące zagrożenia wkraczają głębiej do Twojej sieci? 

Przedsiębiorstwa uważają zaawansowane trwałe zagrożenia (APT) za zagrożenia o wysokim priorytecie ze względu na ryzyko, jakie stwarzają wobec danych poufnych 

image

Wyjaśnienie ruchu bocznego cyberataku 

Ludzie naprawdę nie rozumieją, jak cyberprzestępcy uciekają przed przestępstwami w organizacji. Konkretnie, jak uruchamiają ataki

Rozwiązanie Vision One Platform Trend Micro

Jedna platforma pozwoli szybciej powstrzymywać ataki i przejmować kontrolę nad cyberzagrożeniami. Zarządzaj bezpieczeństwem całościowo za pomocą wszechstronnych narzędzi do zapobiegania, detekcji i reagowania opartych na AI i popartych naszymi badaniami i wywiadem dotyczącymi zagrożeń.

Trend Vision One obsługuje różne hybrydowe środowiska IT, automatyzuje i orkiestruje przepływy pracy oraz zapewnia specjalistyczne usługi cyberbezpieczeństwa, co pozwala uprościć i ujednolicić operacje związane z bezpieczeństwem.

Powiązane artykuły