Hvad er lateral movement?

Lateral movement er en taktik, der bruges af fjender, der prøver at bevæge sig gennem dit netværk. Normalt bruger angribere flere teknikker til at søge efter vigtige aktiver og data. Samtidig bestemmer hackeren målet og finder ud af, hvordan man får adgang til det. De fleste teknikker til at få adgang til målet er afhængige af privilegerede legitimationsoplysninger og efterligning af administratorens daglige rutiner for at forblive skjult og uopdaget. Det er udfordrende for organisationer at opdage lateral bevægelse med traditionelle sikkerhedsløsninger.

Hvordan fungerer lateral movement?

De fleste angreb bruger social engineering som det første step i lateral movement. Spear phishing er en af ​​de mest succesfulde angrebsvektorer til at målrette mod personer, der har en profil med adgang til interessant data, såsom c-level phishing, “Whaling“, eller til at kontrollere følsomme systemer, såsom administratorer. Når angriberen har adgang til en maskine – lad os sige efter et vellykket phishing-angreb – vil han arbejde med den konto for at bruge rettighederne til at søge efter relevant data, yderligere legitimationsoplysninger og tilladelser. Derefter vil angriberen forsøge at eskalere tilladelserne til den brugerkonto, der er beføjet til at udføre mere betydningsfulde handlinger i målrettede miljø.

Når aktionen på et system er fuldført, bevæger vedkommende sig lateralt. Angriberen vil prøve at logge ind på en anden computer med den konto, han først opsnappede. Hvis ingen stopper angriberen, vil vedkommende have al den tid i verden som han skal bruge til at bevæge sig rundt mellem systemer. Indtil han til sidst finder følsom data eller endeligt efterligner en almægtig administratorkonto.

Best practice til at forhindre et lateral movement angreb

I mange tilfælde fikser organisationer ikke diverse svagheder i deres netværk af mange årsager såsom høje omkostninger, tilgængelige ressourcer og afhængighed af andre systemer. Når organisationer løser disse svagheder, tager overgangen fra et usikkert til et sikkert netværk naturligivis tid.

På trods af tid og kræfter til at tackle svagheder er blue teamers ikke på dybt vand. De bruger mange forskellige værktøjer til at opdage angreb i hver fase. Et af de vigtige værktøjer til sikkerhedsovervågning er et system til sikkerhedsinformation og hændelsesadministration (SIEM). Med SIEM er det let at identificere en ubuden gæst, der bevæger sig lateralt fordi han uundgåeligt vil lave støj idet at han hopper fra et system til et andet. Når angriberen er hørt eller set, kan blue teamers stoppe ham.

Tidlig sporing med SIEM

SIEM’er kan registrere angriberen, når han begynder at bruge den samme konto på flere computere. Normalt arbejder reelle brugere fra en enkelt computer. LogPoint SIEM identificerer angriberen ved hjælp af det enkle mønster:

[ label=Login label=successful workstation = * | chart count() by workstation, user ] as s1 join [label=Login workstation=* label=Successful | chart count() by workstation, user ] as s2 on s1.user=s2.user | process compare(s1.workstation,s2.workstation) as match | filter match = false | chart count() by s1.user,s1.workstation,s2.workstation,match

Deling af indsigter i angreb

Med en smertefri metode til at opdage angriberen ved organisationer besked, så snart der er en konto der udfører mistænkelige aktiviteter. De fleste SIEM’er har kraftige visualiseringsmuligheder, så blue teams kan dele deres indsigt med teamet.

Registrer anormal adfærd med UEBA

Behavioral analytics, såsom UEBA , kan også registrere unormal adfærd i netværket uden regler eller manuel opsætning. User and entity behavior analytics (UEBA) bruger avanceret maskinlæring til at opdage hvornår brugerne opfører sig underligt. UEBA sender automatiske meddelelser, når brugerne gør noget som er anerledes i forhold til deres sædvanlige opførsel. På denne måde ved organisationer hvornår de har brug for yderligere forensic undersøgelse.

Et eksempel på hvordan UEBA kan hjælpe med at opdage lateral bevægelse, er eksempelvis flere forsøg på at logge ind på forskellige konti indenfor kort tid og / eller fra enheder, der ikke typisk er forbundet med disse konti. UEBA kommer til sin ret i denne type scenarie, da disse er nogle af de mest grundlæggende uregelmæssigheder, den kan opdage. Naturligvis kan organisationer bruge forespørgsler til at opdage flere loginforsøg, men det kræver en lidt mere besværlig tilgang.

Log opsamling og visualisering

Samlet set kan network-spanning løsninger, selv den mest basale log opsamling og visualisering, være uvurderlige for at opdage lateral movement. Disse løsninger giver hurtig varsel om typen af ​anormal aktivitet, der stemmer overens med lateral movement, især hvis angriberen bruger automatiserede metoder.

Overvågning er nøglen til at stoppe lateral movement

Andre best practices indenfor sikkerhed gør sig naturligivis stadigvæk gældende. Særligt vigtigt er princippet om mindst privilege og forskellige godkendelses relaterede mekanismer, såsom to-faktor-autentificering og adgangskodekrav. Forsvar mod lateral movement er dog ikke komplet uden overvågningsfunktioner.

Sporing og detektion er kun ét step før reaktion. Kun med viden om hvad der foregår i dit netværk, kan du stoppe angriberen og beskytte din virksomhed mod datatab og krænkelse af privatlivets fred.

Udfordringen ved at forsvare dine netværk

I de tidlige dage af internettets oprindelse brugte mange mennesker en stor indsats og tid på at opfinde ny funktionalitet og gøre det, der syntes umuligt – muligt. Da Ray Tomlinson sendte hans første e-mail (“QWERTYUIOP”) i 1971 var hans eneste bekymring at kontrollere, om den blev sendt og modtaget korrekt. Ikke engang 20 år senere, i 1988, ” Morris ” worm udviste sårbarhederne, der kan opstå i computernetværk og det Amerikanske Government Accountability Office estimerede at omkostningerne for skaderne svarede til et samlet beløb på $ 100.000 – 10.000.000 USD. I 1991 præsenterede Microsoft deres vision om “en personlig computer på hvert skrivebord i ethvert hjem”, og virksomheder af enhver størrelse begyndte at arbejde med computere og opbygge deres netværk.

Dengang var efterspørgslen efter IT eksperter højere end det reelle daværende antal kvalificerede specialister. Manglen på IT-ekspertise førte til millioner af usikrede, forkert konfigurerede og meget sårbare IT-miljøer. Mange usikrede IT-miljøer er stadig den dag i dag tilstede, hvilket repræsenterer en stor og dyr risiko for flere organisationer.

En digital legeplads

Der er ingen grund til at specificere, hvordan og hvornår de første hackere fandt vejen til nutidens digitale legeplads og fandt de millioner af sårbare netværk som en virtuel invitation til at gribe ind. Imidlertid motiverede disse hackere organisationer til at tænke på netværksforsvar. Den berømte Kill Chain fra Lockheed Martin og senere industristandard MITER ATT&CK framework hjælper Blue Teams med at strukturere bevismateriale udarbejdet på baggrund af defensive aktiviteter. En angriber skal altså gøre sit grundarbejde, før han kan få det som han er på udkig efter.

Langt de fleste netværk bruger Microsofts teknologier, såsom Active Directory (AD) til godkendelse, autorisation, Windows-servere og klienter. Nogle netværk har endda stadivæk Windows NT – næsten to årtier efter at supporten heraf er afsluttet. Windows-computere, som en del af et AD-domæne i en basis, non-hardened konfiguration, der lever i flade, ikke-segmenterede netværk, gør det muligt for angribere hurtigt at flytte fra et system til et andet. Ved prowling i fremmede netværk høster angribere legitimationsoplysninger og data, og tager i visse tilfælde fuldkommen kontrol over hele netværk.

Af Friedrich von Jagwitz, Sales Engineer

Kontakt LogPoint

Kontakt os, og lær om hvorfor førende mærker vælger LogPoint:

Kontakt os