ラテラルムーブメント
横方向の動きは代名詞となっています データ侵害 過去数年にわたって、サイバー犯罪者がネットワークにアクセスした際のテクニックを参考にしています。ラテラルムーブメントにより、ハッカーはシステムの奥深くまで侵入して、機密データ、知的情報、その他の価値の高い資産を追跡できます。
脅威アクターは、最初にフィッシング攻撃またはランサムウェア攻撃によってエンドポイントを介してシステムにアクセスします。 マルウェア 感染。その後、権限のあるユーザーになりすまして操作を続行します。脅威アクターは、ネットワークに侵入すると、ある資産から次の資産へと移動し、侵害されたシステムを通り抜け、さまざまなリモートアクセスツールを使用して高度なユーザー権限を盗むことで、継続的なアクセスを維持します。
サイバー攻撃者はラテラルムーブメントを中核的な戦術として用い、今日の高度な持続的脅威(APT)を昨日のより単純なサイバー攻撃をはるかに超えています。内部 ネットワークセキュリティ チームは残業して横方向の動きを検知し、その動きを止める必要があります。
横方向の動きが発生する一般的な理由
悪意のある脅威アクターは通常、1つの主要な目標を念頭に置いており、それはハッカーごとに異なる場合があります。サイバー犯罪者がネットワークにアクセスするためにラテラルムーブメントを利用する理由には、次のようなものがあります。
- 開発者の作業用デバイスにアクセスして、プロジェクトのソースコードなどの知的データを盗みます。
- 株式市場を操作したり、銀行情報を盗んだりするために、会社の情報を求めて役員の電子メールを読むこと。
- 認証情報の取得または権限の昇格
- 支払いカード情報 (PCI) をホストするサーバーから顧客データを盗む。
- 他のタイプのアセットまたはペイロードにアクセスする。
理由が何であれ、悪意のある攻撃者の主な目的は、システムを危険にさらし、欲しいものを含むネットワークを経由することです。
3段階の横方向の動き
ほとんどのサイバー攻撃では、ラテラルムーブメントには3つの段階があります。
- リコネッサンス。この初期段階では、攻撃者は企業のネットワーク、デバイス、およびユーザーを調査してマッピングします。攻撃者はこの段階を利用して、会社のネットワーク階層、ホストの命名規則、さまざまなオペレーティングシステム、潜在的なペイロードの場所を把握し、さらに情報を得て、システム全体にわたってさらなる動きを行います。
- 資格情報のダンピングと権限の収集脅威アクターは、ほとんど検出されないかまったく検出されない状態でネットワーク内を移動するには、有効なログイン認証情報が必要です。ネットワーク認証情報を不正に取得する場合に一般的に使用される用語は、「認証情報のダンピング」です。サイバー犯罪者がこれを行う方法の 1 つは、フィッシング攻撃やタイプスクワッティングによってユーザーを騙して認証情報を共有させることです。
- ネットワーク内の他の通信ポイントやコンピューティングポイントにアクセスする。ネットワーク内に入ると、攻撃者はセキュリティ制御を迂回して水平移動のプロセスを繰り返し、最終的に検出されて停止するまで、次々と登場するデバイスを阻止して侵害することができます。
サイバー攻撃時にラテラルムーブメントが脅威アクターにもたらす役割
ラテラルムーブメントにより、脅威アクターは企業のセキュリティチームによる検出と対応を回避できます。このようにネットワーク内を自由に移動でき、検出されないため、たとえITチームがシステムやマシンの最初の感染を記録したとしても、攻撃者はアクセスを維持できます。
ラテラルムーブメントにより、攻撃者の滞留時間が長くなり、攻撃者は最初の侵害から数週間または数か月間システムにアクセスできるようになります。これは、企業の検知・対応チームに誤った安心感を与える罠であり、全員が警戒を緩め、システムがデータ盗難の危険にさらされることになります。
横方向の動きの検出
ラテラルムーブメントは明らかで異常なネットワークアクティビティとして現れ、すぐに警戒心の強いITチームにとっては疑わしいものになります。
たとえば、通常は一部の他のデバイスと通信するデバイスまたはコンピューターと、そのユーザーがネットワークをランダムにスキャンし始めた場合、今こそメモを取り、対応する準備をするときです。通常とは異なるアクティビティはすべて対応に値します。たとえそれが明確な横方向の動きのシナリオでなくても、リスクを冒して通り過ぎるよりも、ビジネスの過程における有機的な異常として調査して却下したほうがよいでしょう。
サイバーセキュリティチームにとって、コアビジネスやその他の日常業務の遂行中に横方向の動きを検知することは困難です。ネットワークアプリケーションの通信状況を監視し、脆弱性の露出状況に関する洞察を提供できる、信頼性が高く動的なアプリケーションが必要です。
このアプリケーションでは、必要なすべての観測と情報を使用して、たとえばコンテナソフトウェアだけでなく、提供するベアメタルマシンや仮想マシンも制御します。 ネットワークセキュリティ 脅威アクターがアクセスを得る前に阻止し、横方向の移動や管理者権限の侵害を防ぎます。
90秒以内の横方向の動き
横方向の動き。最近では「違反」の代名詞となっている2つの言葉。ラテラルムーブメントとは正確には何ですか?また、横方向の動きを止めるにはどうすればよいでしょうか? ビデオを見る 迅速な回答のために。
横方向の動きを防ぐ方法
ビデオで述べたように、悪意のあるサイバー犯罪者による侵害は企業にとって避けられないものです。目標は、それらをできるだけ早く封じ込め、さらなるラテラルムーブメントの試みを阻止することです。
マイクロセグメンテーションは、ランサムウェアやサイバー攻撃の水平移動を阻止するための実証済みの戦略です。セグメンテーションにより、アプリケーションと資産を分離し、ランサムウェアやサイバー犯罪者がネットワーク全体に広がるのを防ぐことができます。
方法を学ぶ イルミオコアとイルミオエンドポイント ゼロトラストセグメンテーションをアプリケーション、コンテナ、クラウド、データセンター、エンドポイントに適用します。Illumio のアプローチでは、アプリケーションの依存関係を包括的に可視化し、水平移動の防止、サイバー攻撃の抑制、重要な資産の保護に必要な自動セグメンテーションを実現します。