Neoprávněného vetřelce lze snadno odhalit, ale útočník, který prošel jako oprávněný uživatel, je prakticky neviditelný. Je možné je zastavit?
Věděli jste, že legitimní uživatelé mohou být hrozbou pro vaši síť? Vzhledem k tomu, že každý chrání své sítě před neoprávněným přístupem hackerů, útočníci vymysleli způsoby, jak získat autorizovaný přístup tím, že se místo toho budou vydávat za legitimní uživatele.
Není dost špatné, že tito aktéři hrozeb obcházejí váš ověřovací systém. Využívají přístupové oprávnění ke kompromitaci vašeho systému do písmene prostřednictvím bočního pohybu.
Zjistěte, jak funguje boční pohyb a jak mu můžete zabránit.
Co je laterální pohyb?
Laterální pohyb je proces, při kterém útočník získá přístup do vaší sítě se správnými přihlašovacími údaji a zneužije oprávnění legitimního uživatele k odhalení a eskalaci zranitelností.
Když projdou vaším vstupním bodem, pohybují se podél bočních linií a hledají slabé články, které mohou bez podezření využít.
Jak funguje laterální pohyb?
Laterální pohyb není typickým druhem kybernetického útoku. Vetřelec nasadí pokročilé techniky dopředu jako platný uživatel. Aby dosáhli svého cíle, věnují svůj čas studiu prostředí a určení nejlepších způsobů, jak udeřit.
Fáze laterálního pohybu zahrnují následující.
1. Sběr informací
Due diligence hraje klíčovou roli v bočním pohybu. Útočník shromažďuje o svých cílech co nejvíce informací, aby mohl činit informovaná rozhodnutí. Přestože je útoky zranitelný každý, aktéři hrozeb se nezaměřují jen na někoho. Vkládají své peníze tam, kde mají ústa, tím, že v každém okamžiku hledají sítě s cennými informacemi.
Aby určil entity, které stojí za jejich čas a úsilí, útočník je pečlivě sleduje prostřednictvím několika kanálů jako jsou sociální média, online úložiště a další platformy pro ukládání dat k identifikaci zranitelností využívat.
2. Krádež pověření
Vyzbrojený životně důležitými informacemi o svém cíli se aktér hrozby vrhne do akce tím, že získá přístup do jejich systému prostřednictvím dumpingu pověření. Jezdí na základě autentických přihlašovacích údajů, aby získali citlivé informace, které mohou použít proti vám.
Útočník, který se zavázal zakrýt své stopy, nakonfiguruje váš systém tak, aby mu zabránil spustit jakýkoli poplach o jejich vniknutí. Když tak učiní, pokračují v krádeži bez jakéhokoli tlaku na dopadení.
3. Neomezený přístup
V této fázi je kybernetický aktér víceméně autentickým uživatelem vaší sítě. Využívají privilegií legitimních uživatelů a začnou přistupovat k mnoha oblastem a nástrojům ve vaší síti a kompromitovat je.
Úspěch útočníkova bočního pohybu spočívá v jeho přístupových oprávněních. Jejich cílem je neomezený přístup, aby mohli získat ta nejcitlivější data, která ukládáte na skrytých místech. Při nasazení nástrojů, jako je Server Message Block (SMB), tito kyberzločinci nepodléhají žádné autentizaci ani autorizaci. Pohybují se s malými nebo žádnými překážkami.
Proč kyberzločinci používají k útokům boční pohyb?
Boční pohyb je oblíbenou technikou mezi vysoce kvalifikovanými útočníky, protože jim dává výhodu během útoku. Nejvýraznější výhodou je, že může snadno obejít detekci.
Síla je běžným faktorem při kybernetických útocích – aktéři všemi prostředky pronikají do systémů. Ale to není případ bočního pohybu. Vetřelec provede hacking při získávání vašich autentických přihlašovacích údajů a poté získá přístup předními dveřmi jako kdokoli jiný.
Nejúčinnější útoky jsou ty, které jsou prováděny na základě zasvěcených informací, protože zasvěcenci rozumí i malým detailům. Při bočním pohybu se hacker mění v insidera. Nejenže se do vaší sítě dostanou legitimně, ale také se nepozorovaně pohybují. Jak tráví více času ve vašem systému, chápou jeho silné a slabé stránky a navrhují nejlepší způsoby, jak tyto slabé stránky eskalovat.
Jak předcházet hrozbám laterálního pohybu
Navzdory nenáročné povaze útoků s bočním pohybem existují určitá opatření, která jim můžete zabránit. Tato opatření zahrnují následující.
Vyhodnoťte svůj útočný povrch
Chcete-li efektivně zabezpečit svou síť, musíte porozumět prvkům v ní, zejména všem možným oblastem, jejichž prostřednictvím může aktér kybernetické hrozby získat neoprávněný přístup do vaší sítě. Jaké jsou tyto útočné plochy a jak je můžete zabezpečit?
Řešení těchto otázek vám pomůže efektivně nasměrovat vaši obranu. A část toho zahrnuje implementace zabezpečení koncových bodů zatlačit zpět proti vznikajícím hrozbám na vašich útočných plochách.
Správa řízení přístupu a oprávnění
Laterální pohyb vyvolává otázky o aktivitách legitimních uživatelů. Autentické přihlašovací údaje nezbavují uživatele páchaní škodlivých činností. S ohledem na to musíte implementovat standardní kontroly přístupu k identifikaci každého uživatele a zařízení, které přistupuje k vaší síti.
Legitimní uživatelé by neměli mít neomezený přístup do všech oblastí vaší sítě. Budování bezpečnostního rámce s nulovou důvěrou a systém správy identit pro správu přístupu uživatelů a činností, které provádějí v rámci parametrů jejich přístupu.
Hon na kybernetické hrozby
Laterální pohyb staví do popředí důležitost proaktivní bezpečnosti. Nemusíte čekat, až budou čipy dole, abyste zabezpečili svůj systém reaktivním zabezpečením. Tou dobou už by byly škody napáchané.
Aktivní vyhledávání kybernetických hrozeb odhalí skryté vektory hrozeb v bočním pohybu. Pokročilá platforma pro informace o hrozbách dokáže objevit ty nejnenápadnější laterální pohybové aktivity. Odebere to luxus času, který musí herec s bočním pohybem obvykle objevit a eskalovat zranitelnosti, čímž sabotuje jejich úsilí dostatečně brzy.
Měřte chování uživatelů
Sledování a měření aktivit zdánlivě legitimních uživatelů vám může pomoci předcházet hrozbám dříve, než dojde k jejich eskalaci. Významné změny v chování uživatelů mohou být způsobeny kompromisem. Když konkrétní uživatel provádí činnosti, které by normálně neprováděl, je to anomálie, kterou musíte prozkoumat.
Přijměte bezpečnostní monitorovací systémy pro zaznamenávání aktivit uživatelů ve vaší síti a označování podezřelých pohybů. Některé z těchto systémů využívají strojové učení a behaviorální AI technologie a dokážou detekovat boční pohyb v reálném čase, což vám umožní takové hrozby rychle vyřešit.
Automatizujte a organizujte odezvu
Boční pohyb funguje na pokročilé technologii. Chcete-li jej efektivně detekovat a vyřešit, musíte svůj plán reakce na incidenty zorganizovat a automatizovat. Orchestrace pomáhá uspořádat vaši obranu, zatímco automatizace zvyšuje dobu odezvy.
Nasazení efektivního systému pro orchestraci zabezpečení, automatizaci a odezvu (SOAR) je nezbytné pro zefektivnění vaší reakce a stanovení priority výstrah na hrozby. Pokud to neuděláte, můžete trpět únavou z reakce na neškodné nebo falešné poplachy.
Zabraňte bočnímu pohybu pomocí aktivního zabezpečení
Rostoucí povědomí o bezpečnosti zaznamenalo, že aktéři kybernetických hrozeb nasazují pokročilé dovednosti k zahájení útoků. Uchylují se k nenásilným technikám, jako je pohyb do stran, které nevyvolávají žádný poplach v přístupu a kompromitují systémy.
Mít aktivní bezpečnostní rámec je jistý způsob, jak předcházet kybernetickým hrozbám. S vaší baterkou zářící v zákoutích a skulinách vašeho systému najdete hrozby na těch nejskrytějších místech.