Neautorizovaného narušiteľa možno ľahko odhaliť, ale útočníka, ktorý prechádza ako autorizovaný používateľ, je prakticky neviditeľný. Je možné ich zastaviť?
Vedeli ste, že legitímni používatelia môžu byť hrozbou pre vašu sieť? Keďže každý zabezpečuje svoje siete pred neoprávneným prístupom hackerov, útočníci vymysleli spôsoby, ako získať autorizovaný prístup predstieraním, že sú legitímni používatelia.
Nie je dosť zlé, že títo aktéri hrozieb obchádzajú váš autentifikačný systém. Využívajú prístupové privilégium na kompromitáciu vášho systému do bodky prostredníctvom bočného pohybu.
Zistite, ako funguje bočný pohyb a ako mu môžete zabrániť.
Čo je laterálny pohyb?
Bočný pohyb je proces, pri ktorom útočník získa prístup do vašej siete so správnymi prihlasovacími údajmi a využíva privilégiá legitímneho používateľa na odhalenie a eskaláciu zraniteľností.
Po prechode cez váš vstupný bod sa pohybujú pozdĺž bočných línií a hľadajú slabé články, ktoré môžu bez podozrenia využiť.
Ako funguje laterálny pohyb?
Bočný pohyb nie je typickým druhom kybernetického útoku. Votrelec nasadí pokročilé techniky dopredu ako platný používateľ. Aby dosiahli svoj cieľ, venujú čas štúdiu prostredia a určovaniu najlepších spôsobov, ako zasiahnuť.
Fázy bočného pohybu zahŕňajú nasledujúce.
1. Získavanie informácií
Pri laterálnom pohybe hrá kľúčovú úlohu due diligence. Útočník zhromažďuje čo najviac informácií o svojich cieľoch, aby mohol robiť informované rozhodnutia. Hoci každý je zraniteľný voči útokom, aktéri hrozieb sa nezameriavajú len na niekoho. Svoje peniaze vkladajú tam, kde majú ústa, tým, že v každom okamihu hľadajú siete s cennými informáciami.
Aby útočník určil entity, ktoré stoja za ich čas a námahu, pozorne ich sleduje prostredníctvom niekoľkých kanálov ako sú sociálne médiá, online úložiská a iné platformy na ukladanie údajov na identifikáciu zraniteľných miest zneužívať.
2. Krádež poverení
Vyzbrojený životne dôležitými informáciami o svojom cieli sa aktér hrozby pustí do akcie tým, že získa prístup k ich systému prostredníctvom dumpingu poverení. Jazdia na základe autentických prihlasovacích údajov, aby získali citlivé informácie, ktoré môžu použiť proti vám.
Útočník, ktorý sa zaviazal zakryť svoje stopy, nakonfiguruje váš systém tak, aby mu zabránil spustiť akýkoľvek alarm o ich vniknutí. Potom pokračujú v krádeži bez akéhokoľvek tlaku, aby ich chytili.
3. Neobmedzený prístup
V tejto fáze je kybernetický aktér viac-menej autentickým používateľom vašej siete. Využívajúc privilégiá legitímnych používateľov, začínajú pristupovať k viacerým oblastiam a nástrojom vo vašej sieti a ohrozovať ich.
Úspech útočníkovho bočného pohybu spočíva v jeho prístupových privilégiách. Ich cieľom je neobmedzený prístup, aby mohli získať tie najcitlivejšie údaje, ktoré ukladáte na skrytých miestach. Nasadením nástrojov, ako je Server Message Block (SMB), títo kyberzločinci nepodstupujú žiadnu autentifikáciu ani autorizáciu. Pohybujú sa s malými alebo žiadnymi prekážkami.
Prečo kyberzločinci používajú na útoky bočný pohyb?
Bočný pohyb je obľúbenou technikou medzi vysoko kvalifikovanými útočníkmi, pretože im dáva výhodu počas útoku. Najvýraznejšou výhodou je, že môže ľahko obísť detekciu.
Sila je bežným faktorom pri kybernetických útokoch – aktéri sa všetkými prostriedkami nabúravajú do systémov. Ale to nie je prípad bočného pohybu. Votrelec vykoná hacking pri získavaní vašich autentických prihlasovacích údajov a potom získa prístup cez predné dvere ako ktokoľvek iný.
Najúčinnejšie útoky sú tie, ktoré sa vykonávajú na základe dôverných informácií, pretože zasvätení rozumejú aj malým detailom. Pri bočnom pohybe sa hacker mení na insidera. Nielenže vstupujú do vašej siete legitímne, ale tiež sa nepozorovane pohybujú. Keď trávia viac času vo vašom systéme, rozumejú jeho silným a slabým stránkam a navrhujú najlepšie spôsoby, ako tieto slabé stránky eskalovať.
Ako predchádzať hrozbám laterálneho pohybu
Napriek nenáročnej povahe útokov s bočným pohybom existujú určité opatrenia, ktoré im môžete zabrániť. Tieto opatrenia zahŕňajú nasledujúce.
Vyhodnoťte svoj útočný povrch
Ak chcete efektívne zabezpečiť svoju sieť, musíte pochopiť prvky v nej, najmä všetky možné oblasti, prostredníctvom ktorých môže aktér kybernetických hrozieb získať neoprávnený prístup do vašej siete. Aké sú tieto útočné plochy a ako ich môžete zabezpečiť?
Vyriešenie týchto otázok vám pomôže efektívne nasmerovať vašu obranu. A časť toho zahŕňa implementácia zabezpečenia koncových bodov na zatlačenie proti vznikajúcim hrozbám v rámci vašich útočných plôch.
Spravujte riadenie prístupu a povolenia
Laterálny pohyb vyvoláva otázky o aktivitách legitímnych používateľov. Autentické prihlasovacie údaje nezbavujú používateľa páchania škodlivých aktivít. S ohľadom na to musíte implementovať štandardné kontroly prístupu na identifikáciu každého používateľa a zariadenia, ktoré pristupujú k vašej sieti.
Legitímni používatelia by nemali mať neobmedzený prístup do všetkých oblastí vašej siete. Budovanie bezpečnostného rámca s nulovou dôverou a systém správy identity na riadenie prístupu používateľov a činností, ktoré vykonávajú v rámci parametrov ich prístupu.
Hon na kybernetické hrozby
Bočný pohyb dáva do popredia dôležitosť proaktívnej bezpečnosti. Nemusíte čakať, kým čipy neklesnú, aby ste zabezpečili svoj systém reaktívnym zabezpečením. Vtedy by už boli škody napáchané.
Aktívne vyhľadávanie kybernetických hrozieb odhalí skryté vektory hrozieb v bočnom pohybe. Pokročilá platforma na spravodajstvo o hrozbách dokáže objaviť tie najnenápadnejšie laterálne pohybové aktivity. Zbaví sa luxusu času, ktorý musí aktér s laterálnym pohybom zvyčajne objaviť a eskalovať zraniteľné miesta, čím sabotuje ich úsilie dostatočne skoro.
Zmerajte správanie používateľov
Sledovanie a meranie aktivít zdanlivo legitímnych používateľov vám môže pomôcť predchádzať hrozbám skôr, ako sa vystupňujú. Výrazné zmeny v správaní používateľov môžu byť spôsobené kompromisom. Keď konkrétny používateľ vykonáva činnosti, ktoré by za normálnych okolností nevykonával, je to anomália, ktorú musíte preskúmať.
Prijmite bezpečnostné monitorovacie systémy na zaznamenávanie aktivít používateľov vo vašej sieti a označovanie podozrivých pohybov. Niektoré z týchto systémov využívajú strojové učenie a behaviorálnu technológiu AI a dokážu detekovať bočný pohyb v reálnom čase, čo vám umožňuje rýchlo vyriešiť takéto hrozby.
Automatizujte a organizujte odozvu
Bočný pohyb funguje na pokročilej technológii. Ak ho chcete zistiť a vyriešiť efektívne, musíte organizovať a automatizovať svoj plán reakcie na incidenty. Orchestrácia pomáha usporiadať vašu obranu, zatiaľ čo automatizácia zvyšuje čas odozvy.
Nasadenie efektívneho systému bezpečnostnej orchestrácie, automatizácie a odozvy (SOAR) je nevyhnutné na zefektívnenie vašej reakcie a uprednostnenie upozornení na hrozby. Ak to neurobíte, môžete trpieť únavou z reakcie na neškodné alebo falošné poplachy.
Zabráňte bočným pohybom pomocou aktívneho zabezpečenia
Rastúce povedomie o bezpečnosti bolo svedkom toho, že aktéri kybernetických hrozieb nasadili pokročilé zručnosti na spustenie útokov. Uchyľujú sa k nenásilným technikám, ako je laterálny pohyb, ktoré nevyvolávajú žiadny poplach v prístupových a kompromitujúcich systémoch.
Mať aktívny bezpečnostný rámec je istý spôsob, ako predchádzať kybernetickým hrozbám. S vašou baterkou svietiacou v zákutiach vášho systému nájdete hrozby na tých najskrytejších miestach.
