Che cos'è un movimento laterale nella sicurezza informatica?

Una mossa laterale si verifica nella sicurezza informatica quando un utente malintenzionato compromette un account o un dispositivo e utilizza la compromissione per ottenere l'accesso ad altri account o dispositivi. Il movimento laterale e l'escalation dei privilegi di solito vanno di pari passo quando un utente malintenzionato si sposta sulla rete e continua ad avere accesso con privilegi sempre più elevati fino al furto di dati sensibili. Gli autori degli attacchi possono ottenere un movimento laterale senza rilevamento se la rete non dispone di strumenti di monitoraggio. Per fermare il movimento laterale, le organizzazioni hanno bisogno di un'infrastruttura di sicurezza resiliente in grado di rilevare schemi anomali. 

Comprendere il movimento laterale

I dati sensibili sono generalmente accessibili solo con account utente con privilegi elevati, che sono pochi in numero. Gli account utente a basso privilegio, invece, sono molto più numerosi e offrono agli autori degli attacchi più opportunità quando hanno bisogno di un account per un compromesso iniziale. Ad esempio, i documenti fiscali aziendali sono generalmente accessibili solo a contabili, CFO e analisti finanziari. Anche se ci sono solo alcuni di questi account, gli account con privilegi inferiori possono essere utilizzati per inserire malware nella rete o inviare e-mail di phishing ai dipendenti finanziari per ottenere le credenziali del loro account.

Il movimento laterale può anche consentire agli autori degli attacchi di accedere ad altri dispositivi. Ad esempio, un utente malintenzionato compromette un account su una workstation con accesso a un server da parte di un computer locale. Il malware può essere installato sul server. Il malware potrebbe essere un ransomware, uno strumento di accesso remoto (RAT) o uno script utilizzato per estrarre i dati. Nella maggior parte dei movimenti laterali, l'obiettivo è ottenere dati sensibili. 

Tecniche utilizzate nel movimento laterale

Nella maggior parte dei movimenti laterali, il compromesso iniziale è un account utente aziendale. Gli autori degli attacchi hanno accesso a questi account utilizzando alcune strategie: spray di credenziali, passaggio dell'hash, phishing o iniezione di malware. Ecco una breve descrizione di ciascuna strategia:

• Spray per credenziali: Gli autori degli attacchi effettuano richieste di autenticazione tramite script utilizzando credenziali note. Se gli utenti assegnano la stessa password a più account, è possibile che le credenziali rubate da un sito Web possano autenticare un utente malintenzionato sugli account aziendali dell'utente, specialmente se l'autenticazione a due fattori non è configurata.
• Supera l'hash: Sebbene un database di hash di password non riveli un valore di testo normale, gli attacchi con dizionario forzato potrebbero esporre il valore di testo normale dietro un hash.
• Phishing: Nella compromissione delle e-mail aziendali (BEC), gli autori degli attacchi compromettono un account e-mail e inviano e-mail di phishing agli utenti con privilegi più elevati.
• Iniezione di malware: Gli strumenti di accesso remoto e il malware che intercettano i dati potrebbero fornire accesso ad altri computer o account sulla rete.

Gli autori degli attacchi spesso utilizzano il phishing o il malware per ottenere l'accesso a un account a basso privilegio. Utilizzando l'account e-mail dell'utente, l'autore dell'attacco invia un messaggio a un altro utente del reparto finanziario, delle risorse umane o del team esecutivo che chiede di accedere a una risorsa specifica. Se il bersaglio di phishing lo obbliga, l'autore dell'attacco ora ha accesso ai dati sensibili.

Strumenti e tecnologie che facilitano il movimento laterale

I criminali informatici sfruttano una serie di strumenti per eseguire vari attacchi. I gruppi di hacker potrebbero crearne di propri, ma la community degli hacker ha applicazioni aperte e gratuite. Ecco alcuni esempi:

• Mimikatz: Alcuni programmi memorizzano le credenziali nella memoria. Mimikatz analizza la memoria del computer per le credenziali memorizzate nella cache e consente di accedere ad altri server o workstation.
• PsExec: Microsoft ha sviluppato PsExec per gli amministratori di rete. Consente agli amministratori di avviare o interrompere i servizi su server remoti. Nelle mani sbagliate, PsExec può essere utilizzato per avviare malware su un server remoto. Il malware può essere utilizzato per rubare dati o credenziali.
• PowerShell: PowerShell è la versione Microsoft dei linguaggi di scripting e scripting, ma può essere utilizzato per accedere ai computer remoti, scaricare malware su un dispositivo locale o eseguire attività dannose sulla rete.

Rilevamento e prevenzione del movimento laterale

Dopo una compromissione iniziale, un utente malintenzionato ha tempo limitato per aumentare i privilegi o spostarsi lateralmente sulla rete. Prima dell'interruzione dell'account a basso privilegio, le organizzazioni devono rilevare uno strano comportamento della rete per bloccare ulteriori danni dopo una violazione iniziale dei dati. Le organizzazioni hanno diverse strategie per rilevare l'attività anomala e arrestare il movimento laterale:

• Usa la protezione degli endpoint: Gli agenti in esecuzione sugli endpoint (ad esempio, l'infrastruttura cloud o i dispositivi remoti degli utenti) aggiornano automaticamente il software, garantiscono l'esecuzione dell'antivirus e impediscono l'installazione del malware.
• Abilita il monitoraggio della rete: Usa le soluzioni di monitoraggio della rete per osservare continuamente i modelli di comportamento degli account utente. Ad esempio, un elevato numero di richieste di accesso a un documento fiscale dopo la stagione fiscale potrebbe indicare un compromesso. Il monitoraggio della rete avvisa gli amministratori di rivedere l'attività.
• Offri formazione sulla sicurezza: Addestra gli utenti con privilegi elevati a identificare il phishing e l'ingegneria sociale.
• Configura segmentazione di rete: La segmentazione della rete blocca l'accesso da un segmento all'altro memorizzando informazioni sensibili. Ad esempio, il segmento finanziario deve bloccare le richieste del segmento di vendita. Questa strategia riduce la mobilità di un movimento laterale.
• Crittografia dei dati: Se subisci una violazione dei dati, i dati che sono stati crittografati saranno illeggibili per un utente malintenzionato.

Conclusione

Per fermare il movimento laterale, la chiave del successo è il rilevamento e il monitoraggio proattivo, la segmentazione della rete e la protezione dei dispositivi. Le normative di conformità richiedono anche il monitoraggio e l'audit delle richieste di accesso ai dati sensibili. SIEM (Security Information and Event Management) è una buona soluzione per monitorare e avvisare gli amministratori di comportamenti insoliti. Per integrare l'infrastruttura di sicurezza, fornisci formazione a dipendenti e appaltatori per aiutarli a identificare e segnalare potenziali attacchi come il phishing.