Che cos'è il movimento laterale?

In generale, gli attacchi con movimento laterale si dividono in due parti: una violazione iniziale seguita da un movimento interno. Gli hacker devono prima accedere a una rete eludendo la sicurezza degli endpoint. Potrebbero utilizzare attacchi di phishing o malware per compromettere un dispositivo o un'applicazione oppure ottenere l'accesso iniziale attraverso una porta server aperta. Dopo che gli autori di un attacco sono entrati, possono iniziare a espandersi verso altre aree della rete attraverso queste fasi di movimento laterale:

Ricognizione
Dopo aver preso piede, gli autori di un attacco mappano la rete e pianificano un percorso verso il loro obiettivo. Cercano informazioni su gerarchie di rete, sistemi operativi, account utente, dispositivi, database e app per capire come sono collegate queste risorse. Potrebbero anche esaminare i controlli di sicurezza della rete, per poi utilizzare quello che apprendono per eludere i team addetti alla sicurezza.

Escalation dei privilegi
Quando gli hacker comprendono la disposizione della rete, possono utilizzare una varietà di tecniche di movimento laterale per raggiungere più dispositivi e account. Infiltrandosi in più risorse, gli hacker non solo si avvicinano al loro obiettivo, ma rendono anche più difficile rimuoverli. Anche se le operazioni di sicurezza li rimuovono da uno o due computer, hanno comunque accesso ad altri asset.

Man mano che gli hacker si muovono lateralmente, tentano di impossessarsi di asset e account con privilegi sempre più elevati. Questo atto è chiamato "escalation dei privilegi". Più privilegi ottengono gli autori di un attacco, più possono fare all'interno della rete. In definitiva, gli hacker mirano a ottenere privilegi amministrativi, che consentano loro di andare praticamente ovunque e fare praticamente qualsiasi cosa.

Raggiungere l'obiettivo
Gli hacker combinano e ripetono le tecniche di movimento laterale secondo necessità fino a quando non raggiungono il bersaglio. Spesso cercano informazioni sensibili da raccogliere, crittografare e comprimere per l'esfiltrazione dei dati su un server esterno. Oppure possono voler sabotare la rete eliminando i dati o infettando i sistemi critici con malware. A seconda del loro obiettivo finale, gli hacker potrebbero mantenere backdoor e punti di accesso remoto il più a lungo possibile per massimizzare i danni.

Dumping delle credenziali: gli hacker ruberanno i nomi utente e le password degli utenti legittimi, quindi "scaricheranno" queste credenziali sui propri computer. Possono anche rubare le credenziali degli amministratori che hanno recentemente effettuato l'accesso al dispositivo.

Attacchi di tipo "pass the hash": alcuni sistemi trasformano o "hashano" le password in dati illeggibili prima di trasmetterle e archiviarle. Gli hacker possono rubare questi hash delle password e utilizzarli per ingannare i protocolli di autenticazione e concedere autorizzazioni per sistemi e servizi protetti.

Pass the ticket: gli hacker utilizzano un ticket Kerberos rubato per accedere a dispositivi e servizi sulla rete. (Kerberos è il protocollo di autenticazione predefinito utilizzato in Microsoft Active Directory.)

Attacchi di forza bruta: gli hacker entrano in un account utilizzando script o bot per generare e testare potenziali password fino a quando una non funziona.

Ingegneria sociale: gli hacker possono utilizzare un account e-mail compromesso di un dipendente per lanciare attacchi di phishing progettati per raccogliere le credenziali di accesso degli account con privilegi.

Dirottamento delle risorse condivise: gli hacker possono diffondere malware attraverso risorse condivise, database e file system. Ad esempio, potrebbero dirottare le funzionalità Secure Shell (SSH) che collegano i sistemi tra i sistemi operativi macOS e Linux.

Attacchi PowerShell: gli hacker possono utilizzare l'interfaccia a riga di comando (CLI) di Windows e lo strumento di scripting PowerShell per modificare le configurazioni, rubare password o eseguire script dannosi.

Living off the land: gli hacker possono fare affidamento su asset interni che hanno compromesso, piuttosto che sul malware esterno nelle fasi successive del movimento laterale. Questo approccio fa apparire legittime le loro attività e le rende più difficili da individuare.

Minacce persistenti avanzate (APT): il movimento laterale è una strategia fondamentale per i gruppi di attacco APT, il cui obiettivo è infiltrarsi, esplorare ed espandere il loro accesso attraverso una rete per un lungo periodo di tempo. Spesso utilizzano il movimento laterale per rimanere inosservati mentre conducono attacchi informatici multipli per mesi o addirittura anni.

Spionaggio informatico: poiché la natura dello spionaggio informatico consiste nel localizzare e monitorare dati o processi sensibili, il movimento laterale è una capacità chiave per le spie informatiche. Gli Stati nazionali spesso assumono criminali informatici particolarmente esperti nella capacità di muoversi liberamente all'interno di una rete bersaglio ed eseguire ricognizioni su asset protetti senza essere scoperti.

Ransomware: gli autori di un attacco ransomware eseguono movimenti laterali per accedere e ottenere il controllo di numerosi sistemi, domini, applicazioni e dispositivi. Più sono in grado di acquisire e più questi asset sono critici per le operazioni di un'organizzazione, maggiore è la leva finanziaria che hanno quando richiedono il pagamento per la loro restituzione.

Infezione da botnet: con il progredire del movimento laterale, gli hacker ottengono il controllo su sempre più dispositivi su una rete violata. Possono connettere questi dispositivi per creare una rete o un botnet robotico. Un'infezione botnet riuscita può essere utilizzata per lanciare altri attacchi informatici, distribuire e-mail di spam o truffare un ampio gruppo di utenti target.

Poiché il movimento laterale può intensificarsi rapidamente in una rete, il rilevamento precoce è fondamentale per mitigare danni e perdite. Gli esperti di sicurezza consigliano di intraprendere azioni che consentano di distinguere i normali processi di rete dalle attività sospette, ad esempio:

Analizzare il comportamento degli utenti: volumi insolitamente elevati di accessi degli utenti, accessi che avvengono a notte fonda, utenti che accedono a dispositivi o applicazioni insoliti o un'impennata di accessi non riusciti possono essere tutti segnali di movimenti laterali. L'analisi comportamentale con apprendimento automatico può individuare e avvisare i team addetti alla sicurezza in caso di comportamenti anomali degli utenti.

Proteggere gli endpoint: i dispositivi vulnerabili connessi alla rete come workstation personali, smartphone, tablet e server sono gli obiettivi principali delle minacce informatiche. Le soluzioni di sicurezza come il rilevamento e risposta degli endpoint (EDR) e i firewall per applicazioni Web sono fondamentali per il monitoraggio degli endpoint e la prevenzione delle violazioni della rete in tempo reale.

Creare partizioni di rete: la segmentazione della rete può aiutare a fermare i movimenti laterali. La richiesta di protocolli di accesso separati per le diverse aree di una rete limita la capacità di un hacker di espandersi. Inoltre, semplifica il rilevamento del traffico insolito di rete.

Monitorare i trasferimenti di dati: un'improvvisa accelerazione delle operazioni del database o trasferimenti massicci di dati verso una posizione insolita potrebbero segnalare che è in corso un movimento laterale. Gli strumenti che monitorano e analizzano i registri degli eventi da fonti di dati, come la gestione delle informazioni e degli eventi di sicurezza (SIEM) o il rilevamento e la risposta della rete (NDR), possono aiutare a individuare modelli sospetti di trasferimento dei dati.

Utilizzare l'autenticazione a più fattori (MFA): se gli hacker riescono a rubare le credenziali degli utenti, l'autenticazione a più fattori può aiutare a prevenire una violazione aggiungendo un ulteriore livello di sicurezza. Con l'MFA, le password rubate da sole non forniranno l'accesso ai sistemi protetti.

Indagare sulle potenziali minacce: i sistemi di sicurezza automatizzati possono fornire falsi positivi e ignorare minacce informatiche precedentemente sconosciute o non ancora risolte. Il rilevamento delle minacce manuale basato sulla threat intelligence più recente può aiutare le organizzazioni a indagare e preparare una risposta efficace agli incidenti per potenziali minacce.

Essere proattivi: applicare patch e aggiornare software, imporre l'accesso al sistema con privilegi minimi, addestrare i dipendenti sulle misure di sicurezza e i test di penetrazione possono aiutare a prevenire i movimenti laterali. È fondamentale affrontare costantemente le vulnerabilità che creano opportunità per gli hacker.