Gli autori delle minacce ottengono l'accesso a un'applicazione aziendale tramite phishing o sfruttando vulnerabilità non risolte, assumono l'identità di un utente legittimo e utilizzano il movimento laterale per penetrare sempre più in profondità in varie parti della rete.
Lì possono esfiltrare dati, paralizzare e manipolare sistemi e database o effettuare altri attacchi. Gli autori delle minacce non colpiscono direttamente, ma cercano piuttosto di agire il più a lungo possibile inosservati. L'obiettivo della maggior parte dei criminali informatici è rubare o crittografare dati per estorcere riscatti, ovvero attacchi ransomware. Quanto più tempo gli aggressori trascorrono inosservati nelle reti delle loro vittime, tanto maggiori saranno i dati, le informazioni e i diritti di accesso che potranno ottenere e maggiore sarà il danno potenziale. Un approccio diffuso è il vulnerability chaining, ovvero il concatenamento di più vulnerabilità. Nel suo Labs Threat Report, Arctic Wolf ha riassunto le vulnerabilità più frequentemente sfruttate di cui le aziende dovrebbero essere a conoscenza e corrette. Diverse tecniche vengono utilizzate per il movimento laterale:
- Sfruttamento dei servizi remoti
- Spear phishing interno
- Trasferimento utensile laterale
- Dirottamento remoto
- Protocollo desktop remoto
- Accesso al servizio cloud
- Token di accesso all'applicazione
Il tempo necessario affinché si verifichi il movimento laterale è chiamato “tempo di rottura”. Se un attacco può essere fermato entro questo intervallo di tempo, i costi, i danni e le potenziali interruzioni dell'attività o tempi di inattività possono essere ridotti in modo significativo o evitati del tutto.
Rileva e arresta il movimento laterale
- Monitoraggio dell'ambiente IT Tempo reale: Soluzioni di monitoraggio moderne, come ad esempio B. Managed Detection and Response (MDR), può includere attività insolite (ad esempio, un utente che accede a un'applicazione a cui normalmente non accede), modifiche alle regole all'interno delle applicazioni o attività improvvise da parte di un singolo utente all'interno dell'infrastruttura IT riconosciuta. Le aziende possono monitorare queste attività e confrontarle con le tecniche sopra menzionate e i corrispondenti modelli di comportamento per individuare tempestivamente i casi di movimento laterale e impedire agli aggressori di muoversi non autorizzati nell’ambiente IT.
- Analisi del comportamento: Poiché molti TTP contengono strumenti ampiamente accessibili e account utente compromessi, è necessaria un’analisi comportamentale avanzata per identificare in modo affidabile anomalie e intenti dannosi.
Rilevare e arrestare il movimento laterale non è facile. Ma proprio perché i criminali informatici possono utilizzare questa tattica per accedere agli strati più profondi dell’IT, le misure di protezione contro questi attacchi sono una componente importante della sicurezza informatica. Possono fare la differenza tra un incidente di sicurezza che è solo un tentativo di attacco stroncato sul nascere o un attacco hacker riuscito che paralizza le aziende o consente agli aggressori di crittografare sistemi e dati ed estorcere riscatti.
Altro su ArcticWolf.com
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.
Articoli relativi all'argomento