Вводное руководство по боковому движению

Появляясь в 25% всех атак, с которыми столкнулись респонденты отчета VMware Global Incident Response Threat Report за 2022 год, мы больше не можем игнорировать проблему бокового перемещения. Если вы точно не понимаете, что это такое и для чего все это, эта вредоносная тактика может подорвать безопасность вашей сети.

Я здесь, чтобы помочь вам. В этой статье вы узнаете, что такое боковое движение, типы атак, в которых оно используется, его этапы и многое другое. Как всегда, начнем с определения.

Что такое боковое движение?

Боковое перемещение — это тактика, которую используют многие злоумышленники после получения первоначального доступа к вашей компании. Чтобы уточнить, это включает в себя навигацию по сети вашей компании и взлом ваших конечных точек, таких как серверы, ПК и другие. Злоумышленники прибегают к этой тактике, если первоначальная компрометация не является основной целью. Кроме того, они могут использовать его, если хотят открыть альтернативные точки входа на случай, если вам каким-то образом удалось раскрыть первоначальный компрометирующий фактор.

Очень сложные атаки, для завершения которых требуются дни или даже месяцы, обычно включают боковое движение. Боковое движение, также известное как движение с востока на запад, часто остается незамеченным и беспрепятственным. Почему это? Ну, в прошлом люди думали, что большинство угроз исходит из-за пределов компании. Сотрудники и другие внутренние подразделения компании являются причиной трафика с востока на запад, поэтому для людей естественно не вызывать подозрений.

По этой же причине вы настраиваете большинство элементов управления безопасностью, таких как брандмауэр и IDS/IPS, чтобы больше сосредоточиться на трафике с севера на юг, а не на трафике с востока на запад.

Однако сегодня мы знаем, что боковое перемещение является одной из ключевых тактик, используемых в современных кибератаках. Теперь, прежде чем продолжить, важно выделить один метод, который кибер-злоумышленники используют при боковом перемещении, который называется «Жизнь за счет земли».

Жизнь за счет земли (LotL)

Хотя некоторые злоумышленники используют вредоносное ПО, чтобы облегчить боковое перемещение, большинство предпочитает «жить за счет земли». По сути, Living off the Land (LotL) — это метод уклонения, использующий системные утилиты и инструменты, легко доступные на скомпрометированной конечной точке. Предположим, например, что скомпрометированная система является хостом Windows. Злоумышленник может использовать PowerShell, regsvr32.exe, WMI и другие двоичные файлы, присутствующие в типичной установке Windows.

Эта стратегия направлена на то, чтобы быть как можно более скрытным. Это связано с тем, что известное вредоносное ПО может запускать антивирусные решения на основе сигнатур. Используя встроенные системные инструменты, злоумышленник может выполнить запрос или получить доступ к другой конечной точке, не поднимая тревоги.

В результате многие решения по обеспечению безопасности и аналитики отклоняют эти действия как часть обычных операций.

Теперь давайте рассмотрим, какие атаки используют боковое движение в своих интересах.

Типы кибератак, использующих боковое движение

Любая кибератака, которая выигрывает от наличия большого количества скомпрометированных систем, использует боковое движение. Вот несколько кибератак, использующих эту тактику.

Атаки программ-вымогателей

Программа-вымогатель — это вредоносное ПО, которое шифрует файлы и отображает записку с требованием выкупа. Чтобы увеличить свои шансы на получение оплаты, операторы программ-вымогателей стараются заразить как можно больше ИТ-ресурсов. Кроме того, некоторые типы программ-вымогателей атакуют резервные копии. Кибер-злоумышленники разрабатывают варианты программ-вымогателей для горизонтального перемещения и самораспространения для захвата нескольких активов.

Расширенные постоянные угрозы (APT)

APT — это очень сложные атаки, часто поддерживаемые национальными государствами. Созданные для масштабного шпионажа, кражи данных или саботажа, они, мягко говоря, неприятны. По этой причине операторы APT хотят, чтобы атака оставалась скрытой как можно дольше. Типичная атака может оставаться незамеченной в течение нескольких недель или даже месяцев. Во время атаки операторы APT будут совершать значительные боковые перемещения и взламывать несколько систем.

Заражение ботнетом

Ботнеты — это сети зомбированных устройств, таких как серверы, ПК и устройства Интернета вещей (IoT). По сути, после заражения вредоносным ПО ботнета эти устройства будут в распоряжении операторов ботнета. Кибер-злоумышленники могут создавать ботнеты, например, для проведения DDoS-атак. Сила ботнета сильно зависит от его размера. Таким образом, операторы ботнета пытаются захватить как можно больше устройств в сети. Боковые движения помогают в достижении этой цели.

Чтобы получить более глубокое представление о горизонтальном перемещении, может быть полезно узнать, как субъекты угроз действуют в этом направлении. Давайте теперь обсудим 3 наиболее распространенных этапа использования этой тактики.

3 общие стадии бокового движения

Боковое перемещение происходит после первоначальной компрометации, которую кибер-злоумышленник достигает с помощью фишинговых атак, заражения вредоносным ПО и других методов. После первоначальной компрометации злоумышленник выполнит движение с востока на запад в 3 основных этапа. Давайте рассмотрим каждый этап более подробно.

1. Разведка

Прежде всего, ваш злоумышленник захочет получить полную информацию. На этом этапе цель вашего злоумышленника — узнать больше о вашей компании, хостах, сети, инструментах безопасности и т. д. В результате собранная информация поможет вашему злоумышленнику разработать стратегию для последующих этапов. Например, ваш злоумышленник может выбрать наиболее подходящий метод кражи учетных данных для входа, зная ваши слабые места.

2. Кража учетных данных и повышение привилегий

На этом этапе целью вашего злоумышленника будет получение действительных учетных данных для входа, таких как имена пользователей и пароли. Ваш злоумышленник будет нацелен на учетные записи с более высокими привилегиями, чем учетная запись, которая у него есть в настоящее время. Они могут добиться этого с помощью нескольких методов, включая атаки Pass-the-Hash, атаки Man-in-the-Middle (MITM) и социальную инженерию. Некоторые злоумышленники также используют инструменты, специально разработанные для кражи паролей с клавиатуры и из памяти, такие как кейлоггеры и Mimikatz.

3. Боковые движения и получение доступа

Как только ваш злоумышленник получит учетные данные для входа в конечную точку, отличную от той, в которую он вошел в данный момент, он может перейти к этой конечной точке. Именно на этом этапе ваш атакующий начнет двигаться вбок. Получив доступ к следующей конечной точке, злоумышленник пройдет тот же набор процессов и этапов. Они будут повторять эти действия до тех пор, пока не нарушат свою основную целевую конечную точку и не достигнут своей конечной цели.

Итак, мы знаем, что боковое движение незаметно. Как вы можете обнаружить это? Давай выясним.

Лучшие практики для обнаружения бокового смещения

Боковое движение часто удается избежать обнаружения по двум причинам. Первая причина заключается в том, что организациям может просто не хватать мер безопасности для трафика с востока на запад. Во-вторых, боковое перемещение часто связано с украденными законными аккаунтами.

Тем не менее, вы можете использовать некоторые передовые методы, которые помогут вам обнаружить эту смертельную тактику.

Обновите антивирусное/антивредоносное программное обеспечение

Если известное вредоносное ПО совершает боковое перемещение, вы сможете обнаружить это перемещение с помощью надежных средств защиты от вредоносных программ. Однако вам потребуется регулярно обновлять эти инструменты. Одна из причин заключается в том, что вы не хотите, чтобы эти инструменты были скомпрометированы. Другая причина заключается в том, что некоторые антивредоносные программы используют сигнатуры вредоносных программ для обнаружения.

Каждый раз, когда поставщик антивредоносного ПО обнаруживает новое вредоносное ПО, он создает для него сигнатуру. Таким образом, если вы хотите быть уверены, что ваше антивирусное программное обеспечение может обнаруживать новейшие вредоносные программы, скачущие по сети, регулярно обновляйте их!

Развертывание решений, использующих поведенческую аналитику

Как вы знаете, горизонтальное перемещение часто связано с кражей учетных данных, связанных с законными учетными записями. Некоторые из этих учетных записей даже имеют административные привилегии. Таким образом, боковое движение трудно обнаружить. Большинство инструментов безопасности даже не могут отличить злонамеренное намерение, выдаваемое за обычное действие, осуществляемое законной учетной записью.

Тем не менее, вредоносное действие может проявлять скрытое, но подозрительное поведение. Такое поведение может запускать инструменты, оснащенные поведенческой аналитикой. Если вы развернете решение User and Entity Behavior Analytics (UEBA), вы сможете противостоять угрозам, которые перемещаются с востока на запад.

Обнаружение хорошо, но профилактика лучше. К счастью для вас, сейчас я расскажу о лучших методах предотвращения бокового смещения.

Передовой опыт предотвращения бокового смещения

Вы можете предотвратить боковое движение несколькими способами. Однако имейте в виду, что ни одна передовая практика не может полностью предотвратить боковое смещение. Как всегда, лучше использовать многоуровневую стратегию защиты и применять несколько передовых методов для достижения оптимальных результатов.

Реализовать управление исправлениями

Помимо использования украденных учетных данных, многие злоумышленники перемещаются с востока на запад, используя известные уязвимости системы. Кибер-злоумышленники обычно делятся этими уязвимостями на хакерских форумах в даркнете. При этом обновления программного обеспечения обычно включают исправления безопасности, устраняющие известные уязвимости.

Таким образом, если вы регулярно устанавливаете исправления, вы можете противостоять злоумышленникам, которые перемещаются в боковом направлении через эксплойты уязвимостей. Однако помните, что знать или найти каждую уязвимость непросто. Вам нужно будет использовать более продвинутые тактики, такие как тестирование на проникновение для более неясных.

Проведите тестирование на проникновение или наймите этичного хакера, чтобы он сделал это за вас

Некоторые уязвимости очевидны только для людей, которые думают как злоумышленник. Поскольку вы, скорее всего, не хакер, наймите этичные хакеры для проведения тестирования на проникновение — один из вариантов. По сути, это тактика, используемая профессионалами в области кибербезопасности, которая включает в себя те же методы, что и злоумышленники.

Тесты на проникновение могут помочь вам обнаружить уязвимости, которые не обнаруживаются обычными сканерами уязвимостей и другими инструментами безопасности. Затем вы можете исправить эти уязвимости и сделать их неэффективными для бокового движения.

Институт безопасности с нулевым доверием

Как упоминалось ранее, неправильное представление о том, что угрозы в основном исходят из-за пределов сети, является причиной того, что вы часто видите неодинаковое применение мер безопасности. Следовательно, управление движением с востока на запад обычно гораздо более мягкое, чем управление движением с севера на юг. Однако вы можете исправить это неравенство, приняв систему безопасности с нулевым доверием.

Безопасность с нулевым доверием — это философия кибербезопасности, которая по умолчанию считает всех пользователей, устройства и другие объекты ненадежными. Это означает, что движение с севера на юг и с востока на запад должно подвергаться одинаковым ограничениям. Кроме того, нулевое доверие включает в себя несколько строгих передовых методов обеспечения безопасности, в том числе принцип наименьших привилегий, строгую аутентификацию и другие. Принятие этой философии затруднит перемещение злоумышленников по сети и повышение привилегий.

Установите безопасность конечной точки

Недостаточно контролировать и обеспечивать безопасность трафика с востока на запад. Мы знаем, что горизонтальное перемещение также связано с компрометацией конечных точек, таких как серверы, ПК, ноутбуки, коммутаторы, устройства IoT и т. д. По этой причине также важно обеспечить безопасность конечных точек.

Безопасность конечных точек — это практика обеспечения безопасности конечных точек с помощью комбинации механизмов предотвращения, обнаружения и реагирования на угрозы. Самая простая форма защиты конечной точки — использование антивируса. Вы можете использовать решение EDR, MDR или XDR для еще лучшей защиты. По сути, эти решения предлагают комплексные возможности обнаружения и реагирования для конечных точек и, в случае MDR и XDR, других ИТ-активов.

Применить сегментацию сети

Сеть, в которой все конечные точки могут свободно взаимодействовать друг с другом, является идеальной средой для горизонтального перемещения. Пока у злоумышленника есть все необходимые привилегии, переход от одной конечной точки к другой должен быть довольно простым. Вопрос в том, должны ли все ваши конечные точки взаимодействовать друг с другом?

Если нет, следует применить сегментацию сети. Сегментация сети — это практика разделения вашей сети на сегменты. Например, вы можете создать сегменты для каждой бизнес-единицы. Другая стратегия состоит в том, чтобы изолировать критически важные ИТ-активы от некритических систем. Ваша цель — сдержать движение с востока на запад к пострадавшему сегменту в случае атаки на систему.

Хорошо. Время закругляться.

Заключительные слова

Наиболее изощренные кибератаки, такие как программы-вымогатели и APT, включают боковое перемещение. По сути, это тактика, позволяющая злоумышленникам глубоко проникнуть в вашу сеть, захватить как можно больше конечных точек и установить альтернативные точки входа. Он состоит из 3 основных этапов: разведка, кража учетных данных и получение доступа.

Чтобы улучшить способность обнаруживать боковые перемещения, необходимо обновить антивирусное ПО и развернуть решения для поведенческой аналитики. Более того, вы можете предотвратить боковое движение, внедрив управление исправлениями, выполнив тесты на проникновение, установив нулевое доверие, обеспечив безопасность конечных точек и применив сегментацию сети.

У вас есть еще вопросы о боковом движении? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

Какой тип решения мне следует искать, если я хочу обнаружить боковое движение с помощью поведенческой аналитики?

User and Entity Behavior Analytics (UEBA) — это класс решений безопасности, специализирующихся на обнаружении угроз с помощью поведенческой аналитики. Некоторые решения специализируются на UEBA, в то время как другие, такие как решения IDS/IPS и SIEM, имеют эту встроенную возможность.

Как снизить риск бокового перемещения в центре обработки данных?

Вы можете применить несколько элементов управления безопасностью в центре обработки данных, которые помогут предотвратить боковое перемещение. По сути, вы можете развернуть брандмауэры, решения IDS/IPS, многофакторную аутентификацию и решения для защиты от вредоносных программ, и это лишь некоторые из них. В нашей статье о безопасности центров обработки данных эта тема рассматривается более подробно.

Какие у меня есть другие варианты защиты от MITM-атак, кроме HTTPS, SFTP и FTPS?

Вы можете использовать виртуальную частную сеть (VPN). По сути, VPN шифрует ваши соединения, включая HTTPS, SFTP, FTPS и другие зашифрованные протоколы. Кроме того, VPN защищает приложения, которые не используют зашифрованные сетевые протоколы, что является большим преимуществом. Обратитесь к этой статье о VPN безопасности интернет-протокола (IPsec), которая предлагает отличное описание этого.

Что такое DDoS-атака?

Атака распределенного отказа в обслуживании (DDoS) перегружает ресурсы сети, замедляя или даже отключая ее. Как только эта атака перегрузит сеть, пользователи больше не смогут получить доступ к ее услугам. Многие решения IPS могут идентифицировать DDoS-атаку и блокировать трафик, связанный с атакой.

Могут ли брандмауэры защитить устройства IoT?

Да. У вас есть определенные типы брандмауэров, которые могут решать проблемы безопасности, связанные с устройствами IoT. В частности, некоторые брандмауэры следующего поколения (NGFW) имеют встроенные функции, которые позволяют ИТ-администраторам создавать правила брандмауэра на основе трафика IoT.