Movimento lateral
O movimento lateral tornou-se sinônimo de violações de dados nos últimos anos, que faz referência às técnicas dos cibercriminosos quando eles obtêm acesso a uma rede. O movimento lateral permite que os hackers se aprofundem em um sistema para rastrear dados confidenciais, informações intelectuais e outros ativos de alto valor.
O agente da ameaça inicialmente obtém acesso ao sistema por meio de um endpoint por meio de um ataque de phishing ou ransomware ou malware infecção. Em seguida, eles se fazem passar por um usuário autorizado para continuar. Uma vez dentro da rede, o agente da ameaça passa de um ativo para o outro, mantendo o acesso contínuo percorrendo o sistema comprometido e roubando privilégios avançados do usuário usando várias ferramentas de acesso remoto.
Os atacantes cibernéticos usam o movimento lateral como uma tática central, movendo as ameaças persistentes avançadas (APTs) atuais muito além dos ataques cibernéticos mais simplistas de ontem. Interno segurança de rede as equipes devem trabalhar horas extras para detectar o movimento lateral e interrompê-lo.
Motivos comuns pelos quais o movimento lateral ocorre
Os agentes de ameaças mal-intencionados geralmente têm um objetivo principal em mente, que pode variar de um hacker para outro. Alguns motivos pelos quais os cibercriminosos usam o movimento lateral para obter acesso a uma rede incluem:
- Acessar o dispositivo de trabalho de um desenvolvedor para roubar dados intelectuais, como o código-fonte de um projeto.
- Ler o e-mail de um executivo para obter informações sobre a empresa para manipular o mercado de ações ou roubar informações bancárias.
- Obtenção de credenciais ou aumento de privilégios.
- Roubar dados do cliente do servidor responsável por hospedar as informações do cartão de pagamento (PCI).
- Obter acesso a algum outro tipo de ativo ou carga útil.
Independentemente do motivo, o objetivo principal de um malfeitor é comprometer o sistema e percorrer uma rede que contenha o que ele deseja.
3 estágios do movimento lateral
Existem três estágios de movimento lateral usados na maioria dos ataques cibernéticos:
- Reconhecimento. Durante esse estágio inicial, o atacante explora e mapeia a rede, os dispositivos e os usuários da empresa. Eles usam esse estágio para conhecer as hierarquias de rede da empresa, as convenções de nomenclatura de hosts, vários sistemas operacionais, a localização de possíveis cargas úteis e mais inteligência para fazer qualquer movimento adicional em todo o sistema.
- Despejo de credenciais e coleta de privilégios. Para percorrer qualquer rede com detecção mínima ou nenhuma, um agente de ameaças precisa de credenciais de login válidas. O termo comumente usado para obter credenciais de rede ilegalmente é “despejo de credenciais”. Uma maneira pela qual os cibercriminosos fazem isso é enganar os usuários para que compartilhem suas credenciais por meio de ataques de phishing e digitação.
- Obter acesso a outros pontos de comunicação e computação na rede. Uma vez dentro da rede, o atacante pode repetir o processo de movimento lateral, contornando os controles de segurança para impedir e comprometer dispositivos sucessivos até que finalmente seja detectado e interrompido.
O que o movimento lateral faz para um agente de ameaça durante um ataque cibernético
O movimento lateral dá ao agente da ameaça a capacidade de evitar a detecção e a resposta das equipes de segurança de uma empresa. Com essa livre circulação pela rede e a falta de detecção, eles podem reter o acesso, mesmo que a equipe de TI tenha registrado a infecção inicial do sistema ou da máquina.
O movimento lateral permite um tempo de permanência prolongado para o agente da ameaça, permitindo que ele acesse um sistema por semanas ou meses após a violação inicial. É uma armadilha que dá à equipe de detecção e resposta da empresa uma falsa sensação de segurança, fazendo com que todos baixem a guarda, deixando o sistema aberto ao roubo de dados.
Detectando movimento lateral
O movimento lateral se manifesta e se apresenta como uma atividade de rede óbvia e anômala, tornando-a suspeita imediatamente para equipes de TI vigilantes.
Por exemplo, se um dispositivo ou computador que normalmente se comunica com alguns outros dispositivos e seus usuários começarem a escanear aleatoriamente a rede, é hora de tomar nota e se preparar para responder. Qualquer atividade fora da norma merece uma resposta. Mesmo que não seja um cenário claro de movimento lateral, é melhor investigá-lo e descartá-lo como uma aberração orgânica no curso dos negócios do que correr o risco de deixá-lo passar.
É difícil para as equipes de cibersegurança detectar movimentos laterais ao realizar negócios principais e outras atividades diárias. Eles precisam de um aplicativo confiável e dinâmico que monitore como seus aplicativos de rede se comunicam, permitindo que eles forneçam informações sobre a exposição a vulnerabilidades.
Com todas as observações e informações necessárias, o aplicativo assume o controle do software de contêiner, por exemplo, bem como das máquinas virtuais e de bare-metal para fornecer segurança de rede para deter os agentes da ameaça antes que eles obtenham acesso, impedindo-os de movimentos laterais e privilégios administrativos.
Movimento lateral em 90 segundos
Movimento lateral. Duas palavras que são sinônimo de “violação” nos dias de hoje. O que exatamente é movimento lateral? E como você impede que o movimento lateral aconteça? Assista ao vídeo para obter respostas rápidas.
Como evitar o movimento lateral
Conforme mencionado no vídeo, as violações de cibercriminosos maliciosos são uma inevitabilidade para as empresas. O objetivo é contê-los o mais rápido possível e bloquear tentativas adicionais de movimento lateral.
A microssegmentação é uma estratégia comprovada para impedir o movimento lateral de ransomware e ataques cibernéticos. A segmentação permite isolar aplicativos e ativos e impedir que ransomware e cibercriminosos se espalhem pela rede.
Saiba como Illumio Core e Illumio Endpoint aplique a segmentação Zero Trust a aplicativos, contêineres, nuvens, data centers e endpoints. A abordagem da Illumio oferece visibilidade abrangente das dependências de aplicativos e fornece a segmentação automatizada necessária para evitar movimentos laterais, conter ataques cibernéticos e proteger ativos essenciais.