Hva er Lateral Movement?

Lateral Movement er en taktikk som brukes av motstandere som prøver å bevege seg gjennom nettverket ditt. Angripere bruker vanligvis flere teknikker for å søke etter viktige verdier og data. Samtidig bestemmer hackeren seg for et mål og finner ut hvordan man får tilgang til det. De fleste teknikker for å få tilgang til målet, er avhengig av brukeropplysninger med tilstrekkelige rettigheter og etterligner administratorens daglige rutiner for å holde seg skjult. Det er utfordrende for organisasjoner å oppdage Lateral Movement med tradisjonelle sikkerhetsløsninger.

Hvordan fungerer Lateral Movement?

De fleste angrep bruker sosial manipulering som det første trinnet i Lateral Movement. Spear phishing er en av de mest vellykkede angrepsvektorene for å finne personer som har en profil med tilgang til interessante data, som f.eks. phishing på C-nivå eller Whaling, eller for å kontrollere sensitive systemer, for eksempel administratortilgang. Så snart angriperen har tilgang til en maskin – la oss si etter et vellykket phishing-angrep – vil han/hun arbeide med denne kontoen for å bruke privilegier til å søke etter relevante data, ytterligere brukeropplysninger og tillatelser. Angriperen vil deretter forsøke å øke tillatelsene til brukerkontoen for å kunne utføre mer betydelige handlinger i målmiljøet.

Når innsamlingen på ett system er over, vil vedkommende begynne å bevege seg sidelengs. Angriperen vil prøve å logge inn på en annen datamaskin med den kontoen vedkommende først registrerte. Hvis ingen stopper angriperen, har han/hun all verdens tid til å lete rundt og bevege seg mellom systemene. Dette vil pågå til vedkommende til slutt finner sensitive data eller utgir seg for å være en legitim administratorkonto.

Beste praksis for å forhindre et Lateral Movement-angrep

I mange tilfeller fikser ikke organisasjoner sårbarheter i nettverket av mange grunner, det kan blant annet være høye kostnader, ressurstilgjengelighet og avhengigheter av andre systemer. Når organisasjoner tar tak i sårbarhetene, tar den usikre overgangen til et sikrere nettverk mye tid.
Selv om man legger ned mye tid og arbeid for å komme over på sikrere systemer, handler det ikke bare om gjetting for de som arbeider med sikkerheten. De bruker mange forskjellige verktøy for å oppdage angrep i alle faser. Et av de viktigste verktøyene for sikkerhetsovervåking, er et system for sikkerhetsinformasjon og hendelsesstyring (SIEM). Med SIEM er det enkelt å identifisere en inntrenger som beveger seg sidelengs, fordi angriperen vil skape støye og legge igjen tydelige spor ved å hoppe fra et system til et annet. Når angriperen blir oppdaget, kan blue teamers løse problemet.

Tidlig deteksjon med SIEM

SIEM kan oppdage angriperen når han/hun begynner å bruke samme konto på flere datamaskiner. Vanligvis arbeider legitime brukere fra en enkelt datamaskin. LogPoint SIEM identifiserer angriperen ved hjelp av det enkle mønsteret:

[ label=Login label=successful workstation = * | chart count() by workstation, user ] as s1 join [label=Login workstation=* label=Successful | chart count() by workstation, user ] as s2 on s1.user=s2.user | process compare(s1.workstation,s2.workstation) as match | filter match = false | chart count() by s1.user,s1.workstation,s2.workstation,match

Del innsikt om angrepene

Takket være en enkel måte å oppdage angriperen på, får organisasjonene kunnskap om det så snart det er en konto som utfører mistenkelige aktiviteter. De fleste SIEM-systemer har kraftige visualiseringsalternativer, slik at sikkerhetsmedarbeiderne kan dele informasjonen med andre.

Oppdag uvanlig atferd med UEBA

Atferdsanalyser, for eksempel UEBA, kan også oppdage unormal atferd i nettverket uten regler eller manuelt oppsett. Bruker- og enhetsatferdsanalyser (UEBA) bruker avansert maskinlæring til å oppdage når brukerne oppfører seg merkelig. UEBA sender automatiske varsler når brukerne gjør noe som defineres som unormal atferd. På denne måten vet organisasjonene når de trenger å gjennomføre ytterligere undersøkelser.

Et eksempel på hvordan UEBA kan bidra til å oppdage Lateral Movement, er flere forsøk på å logge inn på ulike kontoer med kort etterfølgelse og/eller fra enheter som vanligvis ikke er tilknyttet disse kontoene. UEBA kommer virkelig til sin rett i denne typen scenarioer, ettersom dette er noen av de mest grunnleggende uregelmessighetene den kan påvise. Organisasjoner kan selvsagt bruke spørringer til å oppdage flere påloggingsforsøk, men det krever en noe mer arbeidskrevende tilnærming.

Loggaggregering og visualisering

Totalt sett kan network-spanning solutions, selv den mest grunnleggende loggaggregeringen og visualiseringen, være uvurderlig for å oppdage Lateral Movement. Disse løsningene gir et raskt varsel om hvilken type uvanlig aktivitet som sammenfaller med Lateral Movement. Spesielt hvis angriperen bruker automatiserte metoder.

Overvåking er avgjørende for å stoppe Lateral Movement-angrep

Andre beste praksiser for sikkerhet gjelder selvfølgelig fortsatt. Spesielt viktig er prinsippet om bare helt nødvendige privilegier og ulike autentiseringsrelaterte mekanismer, som tofaktorautentisering og passordkrav. Men det er ikke tilstrekkelig for å forsvare seg mot Lateral Movement-angrep. Du trenger også kontinuerlig overvåking.

Deteksjon er ett trinn unna reaksjon. Bare med kunnskap om hva som foregår i nettverket, kan du stoppe angriperen og beskytte bedriften mot datatap og brudd på personvernet.

Utfordringen med å forsvare nettverket

I nettverkenes spede barndom brukte mange mennesker mye tid og krefter på å finne opp ny funksjonalitet og gjøre det som virket umulig – mulig. Da Ray Tomlinson sendte sin første e-post (“QWERTYUIOP”) i 1971, var hans eneste bekymringen om den ble riktig sendt og mottatt. Ikke engang 20 år senere, i 1988 viste “Morris”-ormen vulnerabilities i datanettverket, og den amerikanske instansen U.S. Government Accountability Office beregnet kostnaden for skaden til mellom 100 000 og 10 000 000 dollar. I 1991 kom Microsoft opp med visjonen om «en personlig datamaskin på alle skrivebord og i alle hjem», og bedrifter i alle størrelser begynte å jobbe med datamaskiner og bygge nettverk.

På den tiden var etterspørselen etter IT-eksperter høyere enn det faktiske antallet kvalifiserte spesialister. Mangelen på IT-ekspertise førte til millioner av usikre, feilkonfigurerte og svært sårbare IT-miljøer. Mange usikrede miljøer eksisterer den dag i dag, noe som utgjør en stor og kostbar risiko for organisasjoner.

En digital lekeplass

Det er ingen grunn til å beskrive hvordan og når de første hackerne kom inn på den digitale lekeplassen og fant ut at millioner av sårbare nettverk var en virtuell invitasjon til å agere. Men hackerne motiverte organisasjoner til å tenke på nettverkssikkerheten. Den berømte Kill Chain fra Lockheed Martin og senere industristandarden MITRE ATT&CK framework hjelper sikkerhetsmedarbeidere med å strukturere bevisene som innhentes under defensive aktiviteter. Angriperen må gjøre grunnarbeidet før vedkommende kan oppnå det han/hun er ute etter.

De fleste nettverk bruker Microsofts teknologier, som Active Directory (AD) for autentisering og godkjenning, og Windows-servere og -klienter. Noen nettverk har til og med Windows NT nesten to tiår etter at støtten er avsluttet. Windows-datamaskiner, som del av et AD-domene i en grunnleggende, ikke-herdet konfigurasjon som lever i flate, ikke-segmenterte nettverk, gjør at angripere raskt kan flytte fra ett system til et annet. Fra utenlandske nettverk samler angripere inn brukeropplysninger og data, og tar noen ganger kontroll over hele nettverk.

Av Friedrich von Jagwitz, Sales Engineer

Kontakt LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Ta kontakt