What is Lateral Movement?

Durante un attacco informatico, il sistema a cui l'autore della minaccia informatica accede per primo all'interno della rete di un'organizzazione raramente rappresenta l'obiettivo finale. Ad esempio, molti attacchi informatici si concentrano sul furto, sulla crittografia o sulla distruzione di dati preziosi archiviati nei database, ma gli aggressori entrano nei sistemi di un'organizzazione tramite phishing o altre tecniche che consentono loro di compromettere le workstation degli utenti.

Una volta che hanno preso piede nei sistemi di un'organizzazione, gli aggressori in genere si spostano lateralmente per accedere ad altri sistemi e dati all'interno dell'ambiente dell'organizzazione. Ciò può includere l'espansione delle autorizzazioni o la compromissione di altri account per ottenere l'accesso a risorse aggiuntive.

Horizon XDR/XPR Programma di disponibilità anticipata

What is Lateral Movement?

Tipi di tecniche di movimento laterale

Una volta all'interno dell'ambiente di un'organizzazione, i criminali informatici possono utilizzare vari mezzi per espandere il proprio accesso.

Di seguito sono riportate alcune tecniche comuni:

  • Furto di credenziali: una volta che un utente malintenzionato ha accesso ai sistemi aziendali, tenta comunemente di rubare gli hash delle password e di intercettare il traffico di rete. Ciò può fornire loro l'accesso ad account aggiuntivi tramite cracking delle password, pass-the-hash e pass-the-ticket.
  • Interno Spear Phishing: spesso la formazione Anti-Phishing si concentra sull'identificazione dei messaggi dannosi provenienti dall'esterno dell'organizzazione. Se un utente malintenzionato riesce ad accedere agli account di un utente legittimo, può inviare e-mail di spear phishing, messaggi Slack o altri messaggi molto più plausibili.
  • vulnerabilità Sfruttamento: proprio come l'applicazione rivolta all'esterno di un'organizzazione, l'applicazione e i sistemi interni possono presentare vulnerabilità sfruttabili. Gli aggressori possono sfruttare queste vulnerabilità per ottenere l'accesso a sistemi e dati aggiuntivi.

Fasi del movimento laterale

Sebbene gli aggressori possano utilizzare più tecniche per il movimento laterale, il processo complessivo rimane in gran parte lo stesso.

Le tre fasi principali del movimento laterale includono:

  • Reconnaissance: I firewall e altre soluzioni di sicurezza della rete limitano la capacità di un utente malintenzionato esterno di conoscere la struttura interna della rete aziendale. Una volta all’interno, gli autori delle minacce informatiche solitamente iniziano con una ricognizione, esaminando il sistema che hanno compromesso e la struttura del resto della rete. Sulla base di queste informazioni, possono sviluppare un piano per raggiungere i loro obiettivi.
  • Furto di credenziali: Il movimento laterale comporta spesso il furto e l'uso di credenziali legittime. Gli aggressori possono accedere alle credenziali scaricandole da sistemi compromessi, utilizzando keylogger, sniffando il traffico di rete o eseguendo attacchi di phishing. Spesso, le credenziali vengono rubate sotto forma di hash delle password, che devono essere decifrate per essere utilizzate per accedere ad alcuni sistemi.
  • Ottenere l'accesso: dopo che un utente malintenzionato ha identificato un nuovo sistema, compromesso un account utente o trovato una vulnerabilità sfruttabile, può spostarsi lateralmente o espandere il proprio accesso. Dal loro nuovo punto d'appoggio, potrebbero essere in grado di raggiungere i loro obiettivi o potrebbero ricominciare il processo da capo.

Rilevamento e prevenzione del movimento laterale

Le aziende possono adottare varie misure per prevenire o rilevare gli aggressori che si muovono lateralmente attraverso la loro rete.

Di seguito sono riportate alcune procedure consigliate:

  • Autenticazione sicura – MFA: I criminali informatici spesso utilizzano credenziali compromesse per spostarsi lateralmente attraverso i sistemi di un'organizzazione. L’implementazione di una politica di password complessa e l’applicazione dell’uso dell’autenticazione a più fattori (MFA) possono aiutare a proteggersi da questa minaccia.
  • Sicurezza Zero-Trust: Una politica di sicurezza zero-trust garantisce agli utenti, alle applicazioni, ecc. solo l'accesso e i privilegi necessari per svolgere il proprio lavoro. Limitare l'accesso rende più difficile per un utente malintenzionato utilizzare un account compromesso per spostarsi lateralmente attraverso la rete.
  • Rilevamento e risposta estesi (XDR): Gli attori delle minacce informatiche cercano comunemente di passare inosservati quando si muovono attraverso i sistemi di un'organizzazione. Il contesto e la visibilità centralizzata forniti da XDR possono essere preziosi per identificare potenziali indicatori di movimento laterale.
  • Email Security: gli attacchi di phishing rappresentano un modo comune con cui gli aggressori ottengono l'accesso iniziale e si spostano lateralmente attraverso i sistemi di un'organizzazione. Le soluzioni di sicurezza delle e-mail possono aiutare a identificare e avvisare in caso di messaggi sospetti.
  • Rilevamento e risposta per gli endpoint (EDR): il movimento laterale inizia comunemente compromettendo un endpoint e rubando da esso informazioni sensibili (credenziali, ecc.). L'EDR può aiutare a proteggersi dall'intrusione iniziale e a rilevare il dump delle credenziali, l'installazione di keylogger e minacce simili.
  • Analisi del traffico di rete: il movimento laterale avviene sulla rete. L'analisi del traffico di rete può aiutare a identificare il traffico anomalo che potrebbe indicare ricognizioni o movimenti laterali.

Sicurezza dei movimenti laterali con Check Point

Idealmente, un utente malintenzionato dovrebbe essere identificato e bloccato prima di ottenere l'accesso ai sistemi di un'organizzazione. Tuttavia, se ciò non accade, bloccare il loro accesso e impedire loro di raggiungere i loro obiettivi è la cosa migliore da fare.

Le soluzioni Check Point forniscono alle aziende la visibilità e l'analisi dei dati di cui hanno bisogno per identificare e reprimere i movimenti laterali nella loro rete. Check Point Horizon XDR offre visibilità centralizzata e analisi avanzata delle minacce per aiutare i team di sicurezza a rilevare i segnali sottili delle minacce che si muovono attraverso la loro rete. Scopri di più sulla protezione della tua rete con Check Point iscrivendoti oggi stesso al programma Horizon XDR Early Availability .

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK