Vad är lateral rörelse?

Lateral rörelse är en taktik som används av angripare med målet att förflytta sig genom ditt nätverk. Vanligtvis använder sig angripare a flera tekniker för att söka efter kritiska tillgångar och data. Samtidigt bestämmer angriparen målet och räknar ut hur man kommer åt resursen i fråga. De flesta tekniker gällande målet att komma åt specifika resurser förlitar sig på privilegierade referenser och härmar administratörens dagliga rutiner för att förbli oupptäckta. Organisationer står således inför en stor utmaning när det kommer till att upptäcka lateral rörelse med hjälp av traditionella säkerhetslösningar.

Hur fungerar lateral rörelse?

De flesta attacker använder sig av ”social engineering” under den inledande steget av processen. Specifikt så utgör phishing en av de mest framgångsrika metoderna som angripare använder sig av för att rikta in sig på individer vilka anses besitta data av intressant karaktär, sådana som c-nivå phishing eller ”Whaling” eller för att kontrollera känsliga system, sådana som administratörer och dylikt. När angriparen fått åtkomst till maskinen, exempelvis efter en lyckad phishing attack så kommer hen att använda detta konto för att skaffa sig privilegier att söka efter relevant data, skaffa sig ytterligare referenser och behörigheter. Angriparen kommer då att försöka eskalera behörigheterna för användarkontot samt skaffa sig befogenheten att utföra mer betydelsefulla åtgärder hos miljön i fråga.
När angriparen känner sig nöjd med vad hen åstadkommit så kommer hen att försöka logga in på andra enheter med det initiala kontot. Om ingen stoppar angriparen så kommer hen att få all tid i världen att kunna söka runt och förflytta sig mellan organisationens olika system. Det hela kommer fortgå tills hen kommer åt känsliga data eller tills han så småningom hittar känsliga uppgifter eller efterliknar ett allsmäktigt administratörskonto.

Bästa metoder för att förhindra angrepp i form av lateral rörelse

I många fall åtgärdar organisationer ej de olika sårbarheter i sitt nätverk på grund av många olika skäl. Några av dessa kan te sig i form av höga kostnader, resurstillgänglighet och beroenden av andra system. När organisationen i fråga tar itu med dessa så kommer den att indirekt främja en säkrare och mer tillförlitlig nätverksinfrastruktur.
Trots gedigna investeringar i form av tid och betydliga ansträngningar för att ta itu med sårbarheter så lyckas organisationer att säkra nätverket hela vägen. För att lyckas med det hela så använder sig många av olika verktyg för att upptäcka attacker i varje given fas. Ett av de viktigaste övervakningsverktyg utgörs i form av ett SIEM -system (Security Information and Event Management). Med en SIEM så är det lätt att identifiera en inkräktare, främst på grund av att angriparen oundvikligen kommer att kunna motstå frestelsen med att hoppa från ett system till ett annat. När angriparen i fråga upptäck så kan de säkerhetsansvariga vidta adekvata åtgärder för att stoppa det hela.

Tidig upptäckt med hjälp av en SIEM

SIEM kan identifiera angriparen när hen börjar använda sig av samma konto på flera enheter. Vanligtvis så använder sig användare av ett enda konto för att logga in på deras enhet. LogPoint SIEM hjälper till således att identifiera angriparen med hjälp av det enkla mönstret:

[ label=Login label=successful workstation = * | chart count() by workstation, user ] as s1 join [label=Login workstation=* label=Successful | chart count() by workstation, user ] as s2 on s1.user=s2.user | process compare(s1.workstation,s2.workstation) as match | filter match = false | chart count() by s1.user,s1.workstation,s2.workstation,match

Dela attackinsikter

Med ett smärtfritt och ganska enkel hanterligt sätt att upptäcka angriparen så vet organisationer att så snart det finns ett konto som utför misstänkta aktiviteter så kommer SIEM-systemet att reagerar på den misstänkta aktiviteten. De flesta SIEM erbjuder kraftfulla visualiserings alternativ så att de ansvariga kan hjälpa till att sprida kompetens inom teamet.

Upptäck ovanligt beteende med UEBA

Beteendeanalys, till exempel UEBA, kan också upptäcka avvikande beteende i nätverket utan regler eller manuella inställningar. UEBA tillämpar avancerad maskininlärning för att upptäcka när användarna uppträder på ett misstänkt sätt. UEBA skickar automatiserade meddelanden när användare misstänks överskrida sina befogenheter. Uppenbarligen så kan organisationer använda sig av frågor för att upptäcka onaturliga inloggningsförsök, men det hela kräver en något mer mödosam strategi för att kunna realiseras.
Ett exempel på hur UEBA kan hjälpa till att upptäcka laterala rörelser är ett flertal inloggningsförsök på olika konton i kort följd och/eller från enheter som inte är vanligtvis kopplade till dessa konton. UEBA tillför en stor vinning i denna typ av scenario eftersom dessa utgör några av de mest grundläggande avvikelserna som den kan upptäcka. Uppenbarligen kan organisationer använda frågor för att upptäcka flera inloggningsförsök, men det kräver en något mer mödosam strategi.

Loggaggregering och visualisering

Sammantaget så kan övergripande nätverkslösningar, även den mest grundläggande aggregering av loggar och visualisering visa sig ovärderliga för att kunna upptäcka laterala rörelser. Dessa lösningar förser dig med snabb information om typen av misstänksamma aktiviteter vilka sammanfaller med laterala rörelser, särskilt om angriparen i fråga använder sig av automatiserade metoder.

Övervakning är nyckeln för att kunna stoppa laterala rörelser

Andra säkerhetsrutiner anses fortfarande som en självklar del av den total skyddet. Särskilt viktigt är principen gällande begränsade privilegier och olika mekanismer relaterade till autentisering, såsom tvåfaktorsautentisering och krav på starka lösenord. Att försvara sig mot laterala rörelser är dock icke komplett utan olika former av övervakningsfunktioner. Endast med gediget kunskap gällande om vad som händer i ditt nätverk ger dig möjligheten att stoppa angriparen samt möjliggöra adekvat skydd av ditt företag från intrång och potentiella dataförluster.

Utmaningen att försvara ditt nätverk

I början av nätverkseran så hade många säkerhetsansvariga en olycklig förmåga att allokera enormt mycket kraft och tid på att uppfinna ny funktionalitet och genomföra vad som verkade omöjligt helt plötsligt fullt- möjligt. När Ray Tomlinson skickade sitt första e-postmeddelande  (”QWERTYUIOP”) 1971 så var hans enda bekymmer att kontrollera huruvida det var korrekt skickat och mottaget på ett adekvat sätt.

Om vi blickar framåt, det vill säga 20 år senare, närmare 1988 så påvisade masken ”Morris” stora sårbarheter hos diverse datornätverk. Den amerikanska regeringen Accountability Office uppskattade kostnaden för skadorna på $100 000 – 10 000 000 USD. År 1991 kom Microsoft med sin vision om ”en persondator på varje skrivbord och i varje hem” där organisationer av alla storlekar började arbeta med datorer och bygga sina nätverk.

På den tiden var efterfrågan på IT-experter högre än det faktiska antalet kvalificerade specialister. Bristen på IT-expertis ledde till miljontals osäkrade, felkonfigurerade och mycket sårbara IT-miljöer. Många osäkra miljöer är igång fortfarande idag, vilket utgör en stor och dyr risk för diverse organisationer.

En digital lekplats

Det finns ingen anledning att exakt specificera hur och när de första hackerattackerna infanns sig på den digitala lekplatsen samt det faktum lyckades identifiera miljontals sårbara nätverk. Hackare motiverade dock de otaliga organisationer att börja utforma och vidta adekvata försvarsmekanismer för att skydda sina nätverk. Den berömda Kill Chain från Lockheed Martin vilka senare kompletterade med industristandarden MITER ATT&CK-ramverket hjälper de ansvariga att enklare strukturera upp de värdefulla bevis på diverse inträffade intrång vilka säkrats under utvärderingsprocessen. En angripare måste således alltid göra sin hemläxa innan hen kommer åt den data som hen är ute efter.

Den överlägset dominerande tekniken för uppbyggandet av nätverk där den dominerande aktören utgörs av Microsoft. De dominerande lösningar där system såsom Active Directory (AD) används vid autentisering och auktorisering av Windows baserade servrar och klienter. Vissa nätverk har till och med Windows NT på sina enheter installerat vilket måste anses som grovt tjänstefel om man beskådar det faktum att supporten utgick för nästa två decennier sedan. Windows-enheter vilka utgör en del av en viss AD-domän vilka i sin tur återfinns i icke-säkrade samt icke-segmenterade nätverket göra det enkelt för angripare att snabbt förflytta sig mellan olika system. Angriparens mål är aldrig densamma men oftast så är de ute efter känsliga data men kan i enskilda fall ta kontroll över hela nätverket.

Av Friedrich von Jagwitz, Sales Engineer

Kontakta LogPoint

Kom i kontakt med oss idag för att lära dig mer om ledande varumärken väljer just LogPoint som deras leverantör:

Kom i kontakt med oss