What is Lateral Movement?

Durante um ataque cibernético, o sistema que um agente de ameaça cibernética acessa pela primeira vez na rede de uma organização raramente é seu objetivo final. Por exemplo, muitos ataques cibernéticos se concentram em roubar, criptografar ou destruir dados valiosos, que são armazenados em bancos de dados, mas os invasores entram nos sistemas de uma organização por meio de phishing ou outras técnicas que lhes permitem comprometer as estações de trabalho de um usuário.

Depois de se estabelecerem nos sistemas de uma organização, os invasores geralmente se deslocam lateralmente para acessar outros sistemas e dados no ambiente da organização. Isso pode incluir a expansão de suas permissões ou o comprometimento de outras contas para obter acesso a recursos adicionais.

Horizon XDR/XPR Programa de disponibilidade antecipada

What is Lateral Movement?

Tipos de técnicas de movimento lateral

Uma vez dentro do ambiente de uma organização, os criminosos cibernéticos podem usar vários meios para expandir seu acesso.

Algumas técnicas comuns incluem as seguintes:

  • Roubo de credenciais: Quando um invasor tem acesso aos sistemas corporativos, ele geralmente tenta roubar hashes de senha e espionar o tráfego da rede. Isso pode fornecer a eles acesso a contas adicionais por meio de ataques de quebra de senha, pass-the-hash e pass-the-ticket.
  • Interno phishinglança: Geralmente, o treinamento em Anti-phishing se concentra na identificação de mensagens maliciosas provenientes de fora da organização. Se um invasor puder acessar as contas de um usuário legítimo, ele poderá enviar e-mails de spear phishing, mensagens do Slack ou outras mensagens muito mais plausíveis.
  • Exploração de vulnerabilidade: Assim como os aplicativos voltados para o exterior de uma organização, os aplicativos e sistemas internos podem ter vulnerabilidades exploráveis. Os atacantes podem explorar essas vulnerabilidades para obter acesso a sistemas e dados adicionais.

Estágios do movimento lateral

Embora os atacantes possam usar várias técnicas para o movimento lateral, o processo geral permanece praticamente o mesmo.

Os três principais estágios do movimento lateral incluem:

  • Reconnaissance: O firewall e outras soluções de segurança de rede limitam a capacidade de um invasor externo de conhecer a estrutura interna da rede corporativa. Uma vez dentro da rede, os agentes de ameaças cibernéticas geralmente começam a realizar o reconhecimento, examinando o sistema que eles comprometeram e a estrutura do restante da rede. Com base nessas informações, eles podem desenvolver um plano para atingir seus objetivos.
  • Roubo de credenciais: O movimento lateral geralmente envolve o roubo e o uso de credenciais legítimas. Os invasores podem acessar as credenciais ao despejá-las de sistemas comprometidos, usando keyloggers, farejando o tráfego de rede ou realizando ataques de phishing. Muitas vezes, as credenciais são roubadas na forma de hashes de senha, que precisam ser quebrados para serem usados para fazer login em alguns sistemas.
  • Obtenção de acesso: Depois que um invasor identifica um novo sistema, compromete uma conta de usuário ou encontra uma vulnerabilidade explorável, ele pode se mover lateralmente ou expandir seu acesso. A partir de sua nova base, eles podem ser capazes de atingir seus objetivos ou podem começar o processo novamente.

Detecção e prevenção de movimentos laterais

As empresas podem tomar várias medidas para evitar ou detectar atacantes que se movimentam lateralmente em sua rede.

Algumas práticas recomendadas são as seguintes:

  • Autenticação segura - O senhor pode usar o MFA: Os criminosos cibernéticos geralmente usam credenciais comprometidas para se movimentar lateralmente nos sistemas de uma organização. A implementação de uma política de senha forte e a aplicação do uso de autenticação multifatorial (MFA) podem ajudar a proteger contra essa ameaça.
  • Segurança de confiança zero: Uma política de segurança de confiança zero concede aos usuários, aplicativos etc. apenas o acesso e os privilégios necessários para realizar seu trabalho. Limitar o acesso torna mais difícil para um invasor usar uma conta comprometida para se movimentar lateralmente na rede.
  • Detecção e resposta estendidas (XDR): Os agentes de ameaças cibernéticas geralmente tentam passar despercebidos pelo radar ao se movimentarem pelos sistemas de uma organização. O contexto e a visibilidade centralizada fornecidos pelo XDR podem ser inestimáveis para identificar possíveis indicadores de movimento lateral.
  • Segurança para e-mail: Os ataques de phishing são uma maneira comum de os invasores obterem acesso inicial e se moverem lateralmente pelos sistemas de uma organização. As soluções de segurança de e-mail podem ajudar a identificar e alertar sobre mensagens suspeitas.
  • Detecção e resposta de endpoints (EDR): O movimento lateral geralmente começa com o comprometimento de um endpoint e o roubo de informações confidenciais (credenciais, etc.). O EDR pode ajudar a proteger contra a invasão inicial e detectar o despejo de credenciais, a instalação de keyloggers e ameaças semelhantes.
  • Análise de tráfego de rede: O movimento lateral ocorre na rede. A análise do tráfego de rede pode ajudar a identificar o tráfego anômalo que pode indicar reconhecimento ou movimento lateral.

Segurança de movimento lateral com a Check Point

O ideal é que um invasor seja identificado e bloqueado antes de obter acesso aos sistemas de uma organização. No entanto, se isso não acontecer, bloquear o acesso deles e impedi-los de atingir suas metas é a segunda melhor opção.

As soluções da Check Point fornecem às empresas a visibilidade e a análise de dados de que elas precisam para identificar e reprimir o movimento lateral em suas redes. O Check Point Horizon XDR oferece visibilidade centralizada e análise avançada de ameaças para ajudar as equipes de segurança a detectar os sinais sutis de ameaças que circulam pela rede. Saiba mais sobre como proteger sua rede com a Check Point inscrevendo-se no Programa de Disponibilidade Antecipada do Horizon XDR hoje mesmo.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK