Os atores da ameaça obtêm acesso a um aplicativo da empresa por meio de phishing ou exploração de vulnerabilidades não corrigidas, assumem a identidade de um usuário legítimo e usam movimentos laterais para penetrar cada vez mais profundamente em diversas partes da rede.
Lá eles podem exfiltrar dados, paralisar e manipular sistemas e bancos de dados ou realizar outros ataques. Os atores da ameaça não atacam diretamente, mas tentam operar em segundo plano, despercebidos, pelo maior tempo possível. O objetivo da maioria dos criminosos cibernéticos é roubar ou encriptar dados para extorquir dinheiro de resgate - ou seja, ataques de ransomware. Quanto mais tempo os atacantes passam despercebidos nas redes das suas vítimas, mais dados, informações e direitos de acesso podem obter e maiores serão os danos potenciais. Uma abordagem popular é o encadeamento de vulnerabilidades, ou seja, o encadeamento de diversas vulnerabilidades. Em seu Relatório de Ameaças do Labs, a Arctic Wolf resumiu as vulnerabilidades exploradas com mais frequência que as empresas devem conhecer e corrigir. Diferentes técnicas são usadas para movimentação lateral:
- Exploração de serviços remotos
- Spearphishing interno
- Transferência lateral de ferramenta
- Sequestro remoto
- Protocolo de área de trabalho remota
- Login do serviço em nuvem
- Token de acesso ao aplicativo
O tempo até que ocorra o movimento lateral é chamado de “tempo de fuga”. Se um ataque puder ser interrompido dentro deste período de tempo, os custos, danos e potenciais interrupções de negócios ou tempo de inatividade poderão ser significativamente reduzidos ou totalmente evitados.
Detectar e parar o movimento lateral
- Monitorando o ambiente de TI Tempo real: Soluções modernas de monitoramento, como B. Detecção e resposta gerenciadas (MDR) podem incluir atividades incomuns (por exemplo, um usuário fazendo login em um aplicativo no qual normalmente não faz login), mudanças de regras dentro de aplicativos ou atividades repentinas de um único usuário dentro da infraestrutura de TI reconhecida. As empresas podem monitorar essas atividades e compará-las com as técnicas acima e os padrões de comportamento correspondentes para detectar antecipadamente casos de movimento lateral e impedir que invasores se movam de forma não autorizada no ambiente de TI.
- Análise do comportamento: Como muitos TTPs contêm ferramentas amplamente acessíveis e contas de usuários comprometidas, é necessária uma análise comportamental avançada para identificar anomalias e intenções maliciosas de maneira confiável.
Detectar e interromper o movimento lateral não é fácil. Mas precisamente porque os cibercriminosos podem utilizar esta tática para obter acesso a camadas profundas de TI, as medidas de proteção contra estes ataques são uma componente importante da cibersegurança. Eles podem significar a diferença entre um incidente de segurança ser apenas uma tentativa de ataque que foi eliminada desde o início, ou um hack bem-sucedido que paralisa empresas ou permite que invasores criptografem sistemas e dados e extorquem resgates.
Mais em ArcticWolf.com
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.
Artigos relacionados ao tema