Tehdit aktörleri, kimlik avı yoluyla veya yamalanmamış güvenlik açıklarından yararlanarak bir şirket uygulamasına erişim elde eder, meşru bir kullanıcının kimliğini üstlenir ve ağın çeşitli bölümlerine daha da derinlemesine nüfuz etmek için yanal hareket kullanır.
Orada verileri sızdırabilir, sistemleri ve veritabanlarını felç edip manipüle edebilir veya başka saldırılar gerçekleştirebilirler. Tehdit aktörleri doğrudan saldırı yapmıyor, bunun yerine mümkün olduğu kadar uzun süre fark edilmeden arka planda faaliyet göstermeye çalışıyor. Çoğu siber suçlunun amacı, fidye parasını sızdırmak için verileri çalmak veya şifrelemektir (ör. fidye yazılımı saldırıları). Saldırganlar kurbanlarının ağlarında fark edilmeden ne kadar çok zaman geçirirlerse, o kadar fazla veri, bilgi ve erişim hakkı elde edebilirler ve potansiyel zarar da o kadar büyük olur. Popüler bir yaklaşım, güvenlik açığı zincirlemesidir, yani çeşitli güvenlik açıklarının zincirlenmesidir. Arctic Wolf, Labs Tehdit Raporunda şirketlerin bilmesi ve yamalaması gereken, en sık istismar edilen güvenlik açıklarını özetledi. Yatay hareket için farklı teknikler kullanılıyor:
- Uzak hizmetlerden yararlanma
- Dahili hedef odaklı kimlik avı
- Yanal takım transferi
- Uzaktan kaçırma
- Uzak Masaüstü Protokolü
- Bulut hizmeti oturum açma
- Uygulama Erişim Jetonu
Yanal hareket gerçekleşene kadar geçen süreye “kırılma süresi” denir. Bir saldırı bu zaman aralığı içinde durdurulabilirse maliyetler, hasar ve olası iş kesintileri veya kesintiler önemli ölçüde azaltılabilir veya tamamen önlenebilir.
Yanal hareketi tespit edin ve durdurun
- BT ortamının izlenmesi Gerçek zamanlı: Modern izleme çözümleri, örneğin B. Yönetilen Tespit ve Yanıt (MDR), olağandışı etkinlikleri (örneğin, normalde oturum açmadığı bir uygulamada oturum açan bir kullanıcı), uygulamalar içindeki kural değişikliklerini veya BT altyapısında tanınan tek bir kullanıcı tarafından yapılan ani etkinlikleri içerebilir. Şirketler, yanal hareket durumlarını erken tespit etmek ve saldırganların BT ortamında izinsiz hareket etmesini durdurmak için bu etkinlikleri izleyebilir ve bunları yukarıdaki tekniklerle ve ilgili davranış kalıplarıyla karşılaştırabilir.
- Davranış analizi: Birçok TTP geniş çapta erişilebilir araçlar ve güvenliği ihlal edilmiş kullanıcı hesapları içerdiğinden, anormallikleri ve kötü niyetli niyetleri güvenilir bir şekilde belirlemek için gelişmiş davranış analizine ihtiyaç vardır.
Yanal hareketi tespit etmek ve durdurmak kolay değildir. Ancak siber suçlular, BT'nin derin katmanlarına erişim sağlamak için bu taktiği kullanabildiğinden, bu saldırılara karşı koruyucu önlemler siber güvenliğin önemli bir bileşenidir. Bunlar, daha başlangıçta engellenen bir saldırı girişimi olan bir güvenlik olayı ile şirketleri felce uğratan veya saldırganların sistemleri ve verileri şifrelemesine ve fidye almasına olanak tanıyan başarılı bir hackleme arasındaki fark anlamına gelebilir.
ArcticWolf.com'da daha fazlası
Arktik Kurt Hakkında Arctic Wolf, siber riski azaltmak için ilk bulut tabanlı güvenlik operasyonları platformunu sağlayan güvenlik operasyonlarında dünya lideridir. Uç nokta, ağ ve bulut kaynaklarını kapsayan tehdit telemetrisine dayanan Arctic Wolf® Security Operations Cloud, dünya çapında haftada 1,6 trilyondan fazla güvenlik olayını analiz eder. Neredeyse tüm güvenlik kullanım durumlarına ilişkin şirket açısından kritik içgörüler sağlar ve müşterilerin heterojen güvenlik çözümlerini optimize eder. Arctic Wolf platformu, dünya çapında 2.000'den fazla müşteri tarafından kullanılmaktadır. Otomatik tehdit tespiti ve yanıtı sağlayarak, her büyüklükteki kuruluşun tek bir düğmeye dokunarak birinci sınıf güvenlik operasyonları kurmasını sağlar.
Konuyla ilgili makaleler