Зловмисники отримують доступ до програми компанії за допомогою фішингу або використання невиправлених уразливостей, припускають особу законного користувача та використовують бічний рух, щоб проникати все глибше в різні частини мережі.
Там вони можуть викрадати дані, паралізувати та маніпулювати системами та базами даних або здійснювати інші атаки. Суб’єкти загрози не завдають удару безпосередньо, а намагаються якомога довше діяти непомітно на задньому плані. Метою більшості кіберзлочинців є викрадення або шифрування даних, щоб вимагати викуп, тобто атаки програм-вимагачів. Чим більше часу зловмисники проводять непоміченими в мережах своїх жертв, тим більше даних, інформації та прав доступу вони можуть отримати і тим більший потенційний збиток. Популярним підходом є ланцюжок вразливостей, тобто ланцюжок кількох уразливостей. У своєму звіті про загрози Labs Arctic Wolf узагальнив найбільш часто використовувані вразливості, про які компанії повинні знати та виправляти. Для бокового руху використовуються різні методи:
- Експлуатація дистанційних сервісів
- Внутрішній фішинг
- Бічна передача інструменту
- Дистанційне викрадення
- Протокол віддаленого робочого столу
- Вхід у хмарний сервіс
- Маркер доступу до програми
Час до появи бокового руху називається «часом прориву». Якщо атаку можна зупинити протягом цього періоду часу, витрати, збитки та потенційні перерви в роботі чи простої можна значно скоротити або повністю уникнути.
Виявлення та зупинка бокового руху
- Моніторинг ІТ-середовища Реальний час: Сучасні рішення моніторингу, такі як B. Кероване виявлення та реагування (MDR) може включати незвичні дії (наприклад, вхід користувача в програму, у яку він зазвичай не входить), зміни правил у програмах або раптову активність одного користувача в розпізнаній ІТ-інфраструктурі. Компанії можуть відстежувати ці дії та порівнювати їх із зазначеними вище методами та відповідними моделями поведінки, щоб завчасно виявляти випадки бокового руху та зупиняти зловмисників, які несанкціоновано рухаються в ІТ-середовищі.
- Аналіз поведінки: Оскільки багато TTP містять широкодоступні інструменти та скомпрометовані облікові записи користувачів, для надійного виявлення аномалій і зловмисних намірів необхідний розширений аналіз поведінки.
Виявити та зупинити бічний рух нелегко. Але саме тому, що кіберзлочинці можуть використовувати цю тактику для отримання доступу до глибоких шарів ІТ, заходи захисту від цих атак є важливою складовою кібербезпеки. Вони можуть означати різницю між тим, як інцидент із безпекою є лише спробою атаки, яку було припинено на ранній стадії, чи успішним зломом, який завдає шкоди компаніям або дозволяє зловмисникам шифрувати системи та дані та вимагати викуп.
Більше на ArcticWolf.com
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.
Статті по темі