0
0
Atualmente, existem pontos cegos críticos na maioria das soluções de segurança que tornam quase impossível detectar e impedir ataques de movimento lateral.
Entendendo os fundamentos do movimento lateral
Quase todas as ações de movimento lateral são baseadas no uso de credenciais comprometidas . De acordo com um relatório da Expert Insights, mais de 60% de todos os ataques cibernéticos em 2021 foram vinculados ao comprometimento de credenciais. Os agentes de ameaças podem coletar credenciais das máquinas em que pousam ou comprá-las antecipadamente na dark web. Eles geralmente visam comprometer credenciais de administrador, pois essas contas têm privilégios de acesso mais altos, permitindo que o invasor obtenha acesso a sistemas de alto nível na rede.
É importante perceber que o movimento lateral é um processo quase interminável, onde a tática é constantemente repetida em máquinas diferentes até que o invasor atinja o alvo desejado (por exemplo, um controlador de domínio ou servidor que armazena dados confidenciais). A natureza progressiva de tais ataques permite que os agentes de ameaças transformem um pequeno evento de segurança em uma violação de segurança de nível empresarial.
Os principais desafios da detecção de movimento lateral
Um dos maiores desafios da detecção de movimento lateral é seu baixo fator de anomalia . Os ataques de movimento lateral exploram as lacunas no processo de autenticação de usuário de uma organização. Esses ataques tendem a não ser detectados porque a autenticação realizada pelo invasor é essencialmente idêntica à autenticação feita por um usuário legítimo.
Após o comprometimento inicial do “paciente zero”, o invasor usa credenciais válidas para fazer login em sistemas ou aplicativos organizacionais. Portanto, a infraestrutura padrão do IAM existente no legado não pode detectar nenhuma anomalia durante esse processo, o que permite que os invasores passem e permaneçam na rede sem serem detectados.
Outro desafio importante é a possível incompatibilidade ou disparidade entre os aspectos de proteção de endpoint e de identidade . As soluções de proteção de endpoint são focadas principalmente na detecção de anomalias na execução de arquivos e processos. No entanto, o invasor obtém acesso explorando a infraestrutura de autenticação legítima, utilizando arquivos e processos legítimos. Portanto, não aparece no radar das soluções de endpoint. Mesmo quando os invasores se movem pela rede após o comprometimento inicial, eles usam processos idênticos aos processos de usuários legítimos.
Por exemplo, se um invasor usou a ferramenta PsExec para se conectar remotamente do “paciente zero” a outro computador com credenciais comprometidas, o processo iniciado será PsExec.exe – o processo idêntico que seria executado se um administrador genuíno optasse por executar o mesmo. conexão. Além disso, as soluções de proteção de rede focam na detecção de anomalias no tráfego de rede , e as características de tráfego de rede do dispositivo “paciente zero” para o dispositivo acessado remotamente serão idênticas àquelas quando um administrador legítimo executa a mesma ação.
A falta de fatores de bloqueio em tempo real nas soluções de segurança de rede e endpoint existentes é outro desafio importante para a detecção e prevenção de movimento lateral. Na melhor das hipóteses, a maioria dessas soluções pode alertar as equipes de segurança quando detectam movimento lateral, mas quando os esforços de mitigação forem iniciados, os invasores já terão acesso a ativos valiosos.
As soluções de segurança podem conter recursos de segurança – até certo ponto de movimento – com movimento de rede lateral do ambiente. Embora impeça que invasores se movam de um segmento de rede para outro, não impeça o movimento lateral dentro de um segmento comprometido. Além disso, algumas máquinas (por exemplo, servidores de arquivos ou aplicativos) sem máquinas capazes de enfrentar vários dispositivos, permitindo que os dispositivos sejam capazes de resguardar um segmento de um outro segmento para proteção por exemplo, projetado.
Esses desafios ainda prevalecem devido à tendência de incorporar identidades de usuários como parte da segurança de terminais e de rede. É por isso que o movimento lateral ainda permanece um ponto cego nas infraestruturas de segurança atuais, apesar dos muitos avanços de segurança cibernética da última década. A única solução é solidificar os processos de autenticação de identidade e considerar as identidades dos usuários como uma superfície de ataqueautônoma que deve ser protegida com base nas ameaças às quais está sujeita.
Habilitando proteção em tempo real por meio de análise de risco e MFA
Em sua essência, o movimento lateral é um ataque baseado em identidade. Portanto, a abordagem mais viável para evitar tais ataques seria solidificar os processos de autenticação do usuário. Para conseguir isso, as organizações devem considerar adicionar a camada de segurança de análise de risco e autenticação multifator ( MFA ) em cada ponto de acesso interno e externo.
Em um ambiente de TI convencional, a MFA só é necessária para obter acesso à rede ou ao sistema. Depois que o usuário estiver conectado, o MFA não precisará executar as operações privilegiadas. As organizações devem optar por soluções que permitam MFA adaptável em todos os acessos de usuários, incluindo autenticações do Active Directory, execuções de linha de comando ( CMD ) e execução de todas as ferramentas de acesso remoto, como Powershell, PsExec e WMI.
Quando a MFA é implementada em todos os processos privilegiados, os usuários terão que autenticar suas identidades para executar quaisquer tarefas significativas, mesmo que já estejam dentro da rede corporativa. Esse processo de autenticação contínua reduz significativamente a capacidade de um invasor de utilizar ferramentas administrativas para movimentação lateral.
Também é importante fortalecer os requisitos de autenticação. As organizações não devem simplesmente confiar em códigos enviados por e-mail ou links como o único meio de autenticação; eles devem implementar soluções que possam fornecer MFA sem agente usando métodos seguros, como autenticação biométrica ou prompts de dispositivo.
Até que as organizações parem de confiar em soluções de segurança de endpoint e rede para proteger as identidades dos usuários, os ataques de movimento lateral continuarão a prosperar e permanecerão um ponto cego na maioria das infraestruturas de segurança. Somente implementando um processo de autenticação multicamadas e baseado em riscos, as organizações podem minimizar os riscos de ataques de movimento lateral, impondo detecção e prevenção em tempo real.
FONTE: HELPNET SECURITY