Home

Think

Argomenti

Movimento laterale

Che cos'è il movimento laterale?
Esplora la soluzione di attacco con movimento laterale di IBM Registrati per ricevere aggiornamenti sulla sicurezza
Illustrazione con collage di pittogrammi di nuvole, telefono cellulare, impronta digitale, segno di spunta

Data di pubblicazione: 17 giugno 2024
Autori: Gregg Lindemulder, Amber Forrest

Che cos'è il movimento laterale?

Il movimento laterale è una tattica che i criminali informatici utilizzano per avanzare più in profondità nella rete di un'organizzazione dopo aver ottenuto un accesso non autorizzato. Durante il movimento laterale, gli autori delle minacce potrebbero distribuire malware, compromettere gli account utente ed eludere i controlli di sicurezza per cercare obiettivi di alto valore come dati sensibili o proprietà intellettuale.

Il movimento laterale non è una caratteristica di tutti gli attacchi informatici, ma può essere una delle minacce alla sicurezza informatica più dannose. Questo perché il movimento laterale si basa sul furto delle credenziali degli utenti per entrare progressivamente più in profondità all'interno di una rete violata. Questo tipo di violazione richiede una risposta agli incidenti più complessa da parte dei team addetto alla sicurezza e in genere ha un ciclo di vita di risposta più lungo rispetto a qualsiasi altro vettore di infezione.

Report Cost of a Data Breach

Ottieni informazioni essenziali per aiutare i tuoi team di sicurezza e IT a gestire meglio i rischi e limitare le potenziali perdite.

Come funziona il movimento laterale

In generale, gli attacchi con movimento laterale si dividono in due parti: una violazione iniziale seguita da un movimento interno. Gli hacker devono prima accedere a una rete eludendo la sicurezza degli endpoint. Potrebbero utilizzare attacchi di phishing o malware per compromettere un dispositivo o un'applicazione oppure ottenere l'accesso iniziale attraverso una porta server aperta. Dopo che gli autori di un attacco sono entrati, possono iniziare a espandersi verso altre aree della rete attraverso queste fasi di movimento laterale:

Ricognizione
Dopo aver preso piede, gli autori di un attacco mappano la rete e pianificano un percorso verso il loro obiettivo. Cercano informazioni su gerarchie di rete, sistemi operativi, account utente, dispositivi, database e app per capire come sono collegate queste risorse. Potrebbero anche esaminare i controlli di sicurezza della rete, per poi utilizzare quello che apprendono per eludere i team addetti alla sicurezza.

Escalation dei privilegi
Quando gli hacker comprendono la disposizione della rete, possono utilizzare una varietà di tecniche di movimento laterale per raggiungere più dispositivi e account. Infiltrandosi in più risorse, gli hacker non solo si avvicinano al loro obiettivo, ma rendono anche più difficile rimuoverli. Anche se le operazioni di sicurezza li rimuovono da uno o due computer, hanno comunque accesso ad altri asset.

Man mano che gli hacker si muovono lateralmente, tentano di impossessarsi di asset e account con privilegi sempre più elevati. Questo atto è chiamato "escalation dei privilegi". Più privilegi ottengono gli autori di un attacco, più possono fare all'interno della rete. In definitiva, gli hacker mirano a ottenere privilegi amministrativi, che consentano loro di andare praticamente ovunque e fare praticamente qualsiasi cosa.

Raggiungere l'obiettivo
Gli hacker combinano e ripetono le tecniche di movimento laterale secondo necessità fino a quando non raggiungono il bersaglio. Spesso cercano informazioni sensibili da raccogliere, crittografare e comprimere per l'esfiltrazione dei dati su un server esterno. Oppure possono voler sabotare la rete eliminando i dati o infettando i sistemi critici con malware. A seconda del loro obiettivo finale, gli hacker potrebbero mantenere backdoor e punti di accesso remoto il più a lungo possibile per massimizzare i danni.

Tecniche di spostamento laterale

Dumping delle credenziali: gli hacker ruberanno i nomi utente e le password degli utenti legittimi, quindi "scaricheranno" queste credenziali sui propri computer. Possono anche rubare le credenziali degli amministratori che hanno recentemente effettuato l'accesso al dispositivo.

Attacchi di tipo "pass the hash": alcuni sistemi trasformano o "hashano" le password in dati illeggibili prima di trasmetterle e archiviarle. Gli hacker possono rubare questi hash delle password e utilizzarli per ingannare i protocolli di autenticazione e concedere autorizzazioni per sistemi e servizi protetti.

Pass the ticket: gli hacker utilizzano un ticket Kerberos rubato per accedere a dispositivi e servizi sulla rete. (Kerberos è il protocollo di autenticazione predefinito utilizzato in Microsoft Active Directory.)

Attacchi di forza bruta: gli hacker entrano in un account utilizzando script o bot per generare e testare potenziali password fino a quando una non funziona.

Ingegneria sociale: gli hacker possono utilizzare un account e-mail compromesso di un dipendente per lanciare attacchi di phishing progettati per raccogliere le credenziali di accesso degli account con privilegi.

Dirottamento delle risorse condivise: gli hacker possono diffondere malware attraverso risorse condivise, database e file system. Ad esempio, potrebbero dirottare le funzionalità Secure Shell (SSH) che collegano i sistemi tra i sistemi operativi macOS e Linux.

Attacchi PowerShell: gli hacker possono utilizzare l'interfaccia a riga di comando (CLI) di Windows e lo strumento di scripting PowerShell per modificare le configurazioni, rubare password o eseguire script dannosi.

Living off the land: gli hacker possono fare affidamento su asset interni che hanno compromesso, piuttosto che sul malware esterno nelle fasi successive del movimento laterale. Questo approccio fa apparire legittime le loro attività e le rende più difficili da individuare.

Attacchi informatici che utilizzano il movimento laterale

Minacce persistenti avanzate (APT): il movimento laterale è una strategia fondamentale per i gruppi di attacco APT, il cui obiettivo è infiltrarsi, esplorare ed espandere il loro accesso attraverso una rete per un lungo periodo di tempo. Spesso utilizzano il movimento laterale per rimanere inosservati mentre conducono attacchi informatici multipli per mesi o addirittura anni.

Spionaggio informatico: poiché la natura dello spionaggio informatico consiste nel localizzare e monitorare dati o processi sensibili, il movimento laterale è una capacità chiave per le spie informatiche. Gli Stati nazionali spesso assumono criminali informatici particolarmente esperti nella capacità di muoversi liberamente all'interno di una rete bersaglio ed eseguire ricognizioni su asset protetti senza essere scoperti.

Ransomware: gli autori di un attacco ransomware eseguono movimenti laterali per accedere e ottenere il controllo di numerosi sistemi, domini, applicazioni e dispositivi. Più sono in grado di acquisire e più questi asset sono critici per le operazioni di un'organizzazione, maggiore è la leva finanziaria che hanno quando richiedono il pagamento per la loro restituzione.

Infezione da botnet: con il progredire del movimento laterale, gli hacker ottengono il controllo su sempre più dispositivi su una rete violata. Possono connettere questi dispositivi per creare una rete o un botnet robotico. Un'infezione botnet riuscita può essere utilizzata per lanciare altri attacchi informatici, distribuire e-mail di spam o truffare un ampio gruppo di utenti target.

Rilevamento del movimento laterale

Poiché il movimento laterale può intensificarsi rapidamente in una rete, il rilevamento precoce è fondamentale per mitigare danni e perdite. Gli esperti di sicurezza consigliano di intraprendere azioni che consentano di distinguere i normali processi di rete dalle attività sospette, ad esempio:

Analizzare il comportamento degli utenti: volumi insolitamente elevati di accessi degli utenti, accessi che avvengono a notte fonda, utenti che accedono a dispositivi o applicazioni insoliti o un'impennata di accessi non riusciti possono essere tutti segnali di movimenti laterali. L'analisi comportamentale con apprendimento automatico può individuare e avvisare i team addetti alla sicurezza in caso di comportamenti anomali degli utenti.

Proteggere gli endpoint: i dispositivi vulnerabili connessi alla rete come workstation personali, smartphone, tablet e server sono gli obiettivi principali delle minacce informatiche. Le soluzioni di sicurezza come il rilevamento e risposta degli endpoint (EDR) e i firewall per applicazioni Web sono fondamentali per il monitoraggio degli endpoint e la prevenzione delle violazioni della rete in tempo reale.

Creare partizioni di rete: la segmentazione della rete può aiutare a fermare i movimenti laterali. La richiesta di protocolli di accesso separati per le diverse aree di una rete limita la capacità di un hacker di espandersi. Inoltre, semplifica il rilevamento del traffico insolito di rete.

Monitorare i trasferimenti di dati: un'improvvisa accelerazione delle operazioni del database o trasferimenti massicci di dati verso una posizione insolita potrebbero segnalare che è in corso un movimento laterale. Gli strumenti che monitorano e analizzano i registri degli eventi da fonti di dati, come la gestione delle informazioni e degli eventi di sicurezza (SIEM) o il rilevamento e la risposta della rete (NDR), possono aiutare a individuare modelli sospetti di trasferimento dei dati.

Utilizzare l'autenticazione a più fattori (MFA): se gli hacker riescono a rubare le credenziali degli utenti, l'autenticazione a più fattori può aiutare a prevenire una violazione aggiungendo un ulteriore livello di sicurezza. Con l'MFA, le password rubate da sole non forniranno l'accesso ai sistemi protetti.

Indagare sulle potenziali minacce: i sistemi di sicurezza automatizzati possono fornire falsi positivi e ignorare minacce informatiche precedentemente sconosciute o non ancora risolte. Il rilevamento delle minacce manuale basato sulla threat intelligence più recente può aiutare le organizzazioni a indagare e preparare una risposta efficace agli incidenti per potenziali minacce.

Essere proattivi: applicare patch e aggiornare software, imporre l'accesso al sistema con privilegi minimi, addestrare i dipendenti sulle misure di sicurezza e i test di penetrazione possono aiutare a prevenire i movimenti laterali. È fondamentale affrontare costantemente le vulnerabilità che creano opportunità per gli hacker.

Soluzioni correlate
Servizi di gestione delle vulnerabilità IBM® X-Force Red

Identifica, assegna priorità e gestisci la correzione dei problemi che potrebbero esporre i tuoi asset più critici.

Esplora i servizi di gestione delle vulnerabilità di X-Force Red

IBM Verify (SaaS)

Aggiungi contesto, intelligence e sicurezza all'accesso degli utenti ai tuoi dati e alle tue applicazioni.

Esplora IBM Verify (SaaS)

Soluzioni di difesa dalle minacce ai dispositivi mobili (Mobile threat defense, MTD)

Proteggi utenti, dispositivi mobili, app, reti e dati dalle minacce informatiche.

Esplora le soluzioni di difesa dalle minacce ai dispositivi mobili (Mobile Threat Defense, MTD)
Risorse X-Force Threat Intelligence Index

Impara dalle sfide e dai successi dei team di sicurezza di tutto il mondo, sulla base delle intuizioni e delle osservazioni ottenute dal monitoraggio di oltre 150 miliardi di eventi di sicurezza al giorno in più di 130 paesi.

Cos'è un attore delle minacce?

Gli attori delle minacce sono individui o gruppi che causano intenzionalmente danni a dispositivi o sistemi digitali.

Cosa sono le minacce persistenti avanzate?

Le minacce persistenti avanzate (APT) sono attacchi informatici non rilevati progettati per rubare dati sensibili, condurre attività di spionaggio informatico o sabotare sistemi critici per un lungo periodo di tempo.

Fai il passo successivo

IBM Security Verify è una piattaforma di gestione delle identità e degli accessi (IAM) leader del settore che offre funzionalità basate su AI per la gestione della forza lavoro e delle esigenze dei clienti. Unifica i silo di identità, riduci il rischio di attacchi basati sull'identità e fornisci un'autenticazione moderna, incluse le funzionalità senza password.

Scopri Verify Prova Verify per 90 giorni