ラテラルムーブメント技術の種類
組織の環境に侵入すると、サイバー犯罪者はさまざまな手段を使用してアクセスを拡大できます。
一般的な手法には、次のようなものがあります。
- 資格情報の盗難:攻撃者は企業システムにアクセスすると、通常、パスワード ハッシュを盗み、ネットワーク トラフィックを盗聴しようとします。 これにより、パスワードクラッキング、pass-the-hash、pass-the-ticket攻撃を介して追加のアカウントにアクセスできるようになります。
- 内部 スピア・フィッシング:多くの場合、アンチ フィッシング トレーニングは、組織の外部から送信される悪意のあるメッセージを特定することに焦点を当てています。 攻撃者が正規のユーザーのアカウントにアクセスできる場合、よりもっともらしいスピア フィッシング メール、Slack メッセージ、またはその他のメッセージを送信することができます。
- 脆弱性の悪用:組織の外部向けアプリケーションと同様に、内部のアプリケーションやシステムにも悪用可能な脆弱性が存在する可能性があります。 攻撃者はこれらの脆弱性を悪用して、追加のシステムやデータにアクセスする可能性があります。
横移動の段階
攻撃者はラテラルムーブメントに複数の手法を使用することがありますが、全体的なプロセスはほとんど同じです。
ラテラルムーブメントの 3 つの主要な段階は次のとおりです。
- Reconnaissance: ファイアウォールやその他のネットワーク セキュリティ ソリューションは、外部の攻撃者が企業ネットワークの内部構造を知る能力を制限します。 サイバー脅威攻撃者は侵入すると、通常、偵察を実行し、侵入したシステムとネットワークの残りの部分の構造を調査することから始めます。 この情報に基づいて、目的を達成するための計画を立てることができます。
- 資格情報の盗難: ラテラルムーブメントには、多くの場合、正当な資格情報の盗難と使用が含まれます。 攻撃者は、侵害されたシステムから資格情報をダンプしたり、キーロガーを使用したり、ネットワーク トラフィックを盗聴したり、フィッシング攻撃を実行したりすることによって、資格情報にアクセスする可能性があります。 多くの場合、資格情報はパスワードハッシュの形で盗まれ、一部のシステムへのログインに使用するには解読する必要があります。
- アクセスの取得:攻撃者は、新しいシステムを特定したり、ユーザー アカウントを侵害したり、悪用可能な脆弱性を発見したりすると、横方向に移動したり、アクセスを拡大したりする可能性があります。 新しい足場から、目的を達成できるかもしれませんし、プロセスを最初からやり直すかもしれません。
ラテラルムーブメントの検出と防止
企業は、ネットワーク内を横方向に移動する攻撃者を阻止または検出するために、さまざまな措置を講じることができます。
ベスト プラクティスには、次のようなものがあります。
- 安全な認証 – MFA: サイバー犯罪者は、侵害された認証情報を使用して、組織のシステムを横方向に移動することがよくあります。 強力なパスワード ポリシーを実装し、多要素認証 (MFA) の使用を強制することは、この脅威から保護するのに役立ちます。
- ゼロトラストセキュリティ:ゼロトラスト セキュリティ ポリシーは、ユーザー、アプリケーションなどに、ジョブの実行に必要なアクセスと権限のみを付与します。 アクセスを制限すると、攻撃者が侵害されたアカウントを使用してネットワーク内を横方向に移動することがより困難になります。
- 拡張検出と対応 (XDR): サイバー脅威アクターは、通常、組織のシステム内を移動するときにレーダーの下を飛ぼうとします。 XDRが提供するコンテキストと一元化された可視性は、ラテラルムーブメントの潜在的な指標を特定する上で非常に貴重です。
- 電子メール セキュリティ:フィッシング攻撃は、攻撃者が最初のアクセスを取得したり、組織のシステム内を横断的に移動したりする一般的な方法です。 メールセキュリティソリューションは、不審なメッセージを特定して警告するのに役立ちます。
- Endpoint Detection and Response(EDR):ラテラル ムーブメントは通常、エンドポイントを侵害し、そこから機密情報 (資格情報など) を盗むことから始まります。 EDRは、最初の侵入から保護し、資格情報のダンプ、キーロガーのインストール、および同様の脅威を検出するのに役立ちます。
- ネットワーク トラフィック分析:ネットワーク上で横方向の移動が発生します。 ネットワーク トラフィック分析は、偵察や横方向の移動を示す可能性のある異常なトラフィックを特定するのに役立ちます。
チェック・ポイント付き横移動セキュリティ
理想的には、攻撃者が組織のシステムにアクセスする前に、攻撃者を特定してブロックします。 ただし、これが起こらない場合は、アクセスをロックダウンし、目標の達成を妨げることが次善の策です。
チェック・ポイント ソリューションは、企業がネットワーク内の横方向の動きを特定して取り締まるために必要な可視性とデータ分析を提供します。 チェック・ポイント Horizon XDR は、一元的な可視性と高度な脅威分析を提供し、セキュリティ チームがネットワーク内を移動する脅威の微妙な兆候を検出できるようにします。 今すぐHorizon XDR 早期可用性プログラムにサインアップして、チェック・ポイントによるネットワークの保護の詳細をご覧ください。