Πλευρική κίνηση: Τι είναι και πώς να την αποκλείσετε | MTI
KategorieΑκίνητα

Πλευρική κίνηση: Τι είναι και πώς να την αποκλείσετε | MTI

März 5, 2023 0 Von admin

Τα δίκτυα παρόχων NHS & Community Services είναι συχνά επίπεδα με λίγα εμπόδια για να αποτρέψουν τους εισβολείς να μετακινηθούν πλευρικά μία φορά πίσω από ένα περιμετρικό τείχος προστασίας.

Η εφαρμογή πιο ασφαλών σχεδίων δικτύου μπορεί να είναι δαπανηρή, πολύπλοκη και δυνητικά ενοχλητική. Όταν αντιμετωπίζετε αυτές τις προκλήσεις, πώς μπορείτε να διασφαλίσετε ότι τα δίκτυα είναι ασφαλή, η ανάκτηση είναι εξασφαλισμένη και η κλινική συνέχεια ή η συνέχεια της υπηρεσίας προστατεύεται;

Σε αυτό το πρώτο άρθρο, το οποίο θα αποτελέσει μια σειρά άρθρων, θα αποσυσκευάσουμε πώς να ξεπεράσουμε αυτές τις προκλήσεις και να βελτιώσουμε την ασφάλεια, την ταχύτητα και την ευελιξία του δικτύου με μια εύκολη στην υιοθέτηση αρχιτεκτονική μηδενικής εμπιστοσύνης.

Το πρώτο μέρος για να ξεκινήσετε, είναι να εξετάσετε την πλευρική κίνηση στο δίκτυό σας, να κατανοήσετε τι είναι και πώς λειτουργεί.

Σε κάθε δεδομένη εκστρατεία επίθεσης, οι κακοί ηθοποιοί έχουν έναν συγκεκριμένο στόχο στο μυαλό τους. Αυτός ο στόχος μπορεί να περιλαμβάνει την πρόσβαση στο μηχάνημα ενός προγραμματιστή και την κλοπή του πηγαίου κώδικα ενός έργου, την αναζήτηση των email ενός συγκεκριμένου στελέχους ή την εξαγωγή δεδομένων πελατών από έναν διακομιστή που είναι υπεύθυνος για τη φιλοξενία πληροφοριών κάρτας πληρωμής. Το μόνο που χρειάζεται να κάνουν είναι να συμβιβάσουν το σύστημα που έχει αυτό που θέλουν. Είναι τόσο εύκολο.

Ή μήπως είναι?

Στην πραγματικότητα, είναι λίγο πιο περίπλοκο από αυτό. Όταν οι εισβολείς θέτουν σε κίνδυνο ένα στοιχείο σε ένα δίκτυο, αυτή η συσκευή συνήθως δεν είναι ο τελικός προορισμός τους. Για να επιτύχουν τον στόχο τους, οι κακοί ηθοποιοί είναι πιθανό να εισβάλουν σε έναν διακομιστή ιστού χαμηλού επιπέδου, σε λογαριασμό email, σε συσκευή τερματικού σημείου υπαλλήλου ή σε κάποια άλλη τοποθεσία εκκίνησης. Στη συνέχεια, θα μετακινηθούν πλευρικά από αυτόν τον αρχικό συμβιβασμό μέσω του δικτύου για να φτάσουν στον επιδιωκόμενο στόχο. Ο αρχικός συμβιβασμός σπάνια προκαλεί σοβαρή ζημιά. Σκεφτόμαστε αυτό με έναν άλλο τρόπο: εάν οι ομάδες ασφαλείας μπορέσουν να ανιχνεύσουν την πλευρική κίνηση πριν οι επιτιθέμενοι φτάσουν στους επιδιωκόμενους στόχους τους, μπορούν να αποτρέψουν τον εισβολέα από την επιτυχή ολοκλήρωση της αποστολής.

Έχετε δει το webinar μας με το VMware; Ανακαλύφθηκε ότι μπορείτε να μεγιστοποιήσετε την παροχή αντιγράφων ασφαλείας, να βελτιώσετε την ασφάλεια του δικτύου και να ελαχιστοποιήσετε τη διακοπή σε περίπτωση επίθεσης στον κυβερνοχώρο. Παρακολουθήστε το διαδικτυακό σεμινάριο εδώ.

Οδηγός εικονικοποίησης δικτύου για ανδρείκελα

Τι είναι η Πλευρική Κίνηση

Η πλευρική κίνηση είναι όταν ένας εισβολέας διακυβεύει ή αποκτά τον έλεγχο ενός στοιχείου μέσα σε ένα δίκτυο και στη συνέχεια μεταβαίνει από αυτήν τη συσκευή σε άλλες εντός του ίδιου δικτύου. Επιτρέψτε μου να σας ζωγραφίσω μια εικόνα για να διευκρινίσετε τι συμβαίνει εδώ. Σε οποιοδήποτε δίκτυο, μπορείτε να αναπαραστήσετε την περίμετρο με μια οριζόντια γραμμή. Το επάνω μισό αντιπροσωπεύει αυτό που βρίσκεται έξω από το δίκτυο, ενώ αυτό που βρίσκεται κάτω από τη γραμμή αντιπροσωπεύει αυτό που βρίσκεται μέσα. Για να μπει ένας εισβολέας μέσα στο δίκτυο, πρέπει να κινηθεί κάθετα — δηλαδή από έξω προς τα μέσα (μερικές φορές ονομάζεται κίνηση βορρά-νότου). Αλλά μόλις δημιουργήσουν μια βάση, μπορούν στη συνέχεια να μετακινηθούν πλευρικά (ή οριζόντια, που μερικές φορές ονομάζεται κίνηση ανατολής-δύσης) εντός του δικτύου για να επιτύχουν τον στόχο τους.

Συνολικά, υπάρχουν κοινοί τρόποι με τους οποίους ένας παράγοντας απειλής κινείται πλευρικά. Σε μια προσέγγιση, ο εισβολέας χρησιμοποιεί εργαλεία που έχουν σχεδιαστεί για να σαρώνουν εσωτερικά το δίκτυο για να αποκτήσουν πληροφορίες για άλλα μηχανήματα στα οποία μπορεί να θέλουν να μετακινηθούν. Πολλά από αυτά τα εργαλεία απαρίθμησης κάνουν πράγματα όπως η σάρωση για ανοιχτές θύρες που ακούν και ο εντοπισμός μηχανημάτων που πάσχουν από μη επιδιορθωμένα τρωτά σημεία. Μόλις ο εισβολέας βρει έναν κατάλληλο στόχο, μπορεί να εκμεταλλευτεί αυτές τις αδυναμίες για να μετακινηθεί πλευρικά σε άλλο περιουσιακό στοιχείο.

Μια άλλη μέθοδος πλευρικής κίνησης κατορθώματα κλεμμένα διαπιστευτήρια. Σε αυτόν τον τύπο επίθεσης, ο εισβολέας μπορεί να χρησιμοποιήσει ένα email ηλεκτρονικού ψαρέματος για να μολύνει ένα μηχάνημα που συνδέεται με έναν συγκεκριμένο διακομιστή. Στη συνέχεια, ο εισβολέας μπορεί να χρησιμοποιήσει την πρόσβασή του για να εντοπίσει κωδικούς πρόσβασης μέσω ενός keylogger ή ενός εργαλείου κλοπής κωδικού πρόσβασης όπωςμιμικάζε. Στη συνέχεια, μπορούν να χρησιμοποιήσουν όποια διαπιστευτήρια μπόρεσαν να αποκτήσουν για να μιμηθούν τον χρήστη που έχει πέσει θύμα και να συνδεθούν σε άλλο μηχάνημα. Αφού αποκτήσουν πρόσβαση σε αυτόν τον υπολογιστή, μπορούν στη συνέχεια να επαναλάβουν την τακτική αναζητώντας επιπλέον κοινόχρηστα στοιχεία, διαπιστευτήρια ή προνόμια που μπορούν να εκμεταλλευτούν και, με τη σειρά τους, να χρησιμοποιήσουν κατά μήκος της διαδρομής για τη δημιουργία μιας απομακρυσμένης σύνδεσης με τη συσκευή-στόχο.

Άμυνα ενάντια στο πλευρικό κίνημα

Αξίζει να πούμε ότι η πλευρική κίνηση εκδηλώνεται συχνά ως ανώμαλη δραστηριότητα δικτύου. Είναι ύποπτο, για παράδειγμα, όταν ένα μηχάνημα που μιλά τακτικά μόνο με λίγους επιλεγμένους υπολογιστές αρχίζει να σαρώνει ολόκληρο το δίκτυο. Το ίδιο ισχύει αν αυτό το μηχάνημα επιχειρήσει να συνδεθεί σε ανοιχτές θύρες, να αλληλεπιδράσει με υπηρεσίες διαπιστευτηρίων με τις οποίες συνήθως δεν διατηρεί επαφή ή να χρησιμοποιήσει ένα όνομα χρήστη που δεν έχει χρησιμοποιηθεί ποτέ στο παρελθόν. Η λίστα συνεχίζει και συνεχίζει. Αυτό που έχει σημασία είναι ότι ο υπολογιστής κάνει κάτι ασυνήθιστο. Ίσως υπάρχει νόμιμος λόγος για τη δραστηριότητα, αλλά ίσως δεν υπάρχει.

Παραδείγματα όπως τα παραπάνω μπορούν να δώσουν στους οργανισμούς την ευκαιρία να ανιχνεύσουν πλευρική κίνηση. Μπορούν να στραφούν στην υπηρεσία καταλόγου Active Directory, για παράδειγμα, για να αναλύσουν αρχεία καταγραφής για ύποπτες συνδέσεις. Εναλλακτικά, μπορούν να χρησιμοποιήσουν ένα εργαλείο εντοπισμού και απόκρισης τελικού σημείου (EDR) για να ανιχνεύσουν εάν κάποιος εκκινεί κακόβουλο κώδικα σε ένα προστατευμένο στοιχείο πληροφορικής.

Αλλά αυτές οι άμυνες δεν είναι αλάνθαστες. Οι ομάδες ασφαλείας που βασίζονται σε αρχεία καταγραφής περιορίζουν το εύρος της αμυντικής τους στάσης, για παράδειγμα, επειδή τα αρχεία καταγραφής περιορίζονται σε συγκεκριμένες εφαρμογές και σε μικρό αριθμό σεναρίων. Οι επαγγελματίες του Infosec ενδέχεται να αποφασίσουν να παρακολουθήσουν την υπηρεσία καταλόγου Active Directory για κλοπή διαπιστευτηρίων, αλλά οι εισβολείς ενδέχεται να μην αξιοποιήσουν αυτήν την υπηρεσία καταλόγου για να μετακινηθούν πλευρικά. Αυτό σημαίνει ότι όλες οι κακόβουλες ενέργειες που δεν χρησιμοποιούν την υπηρεσία καταλόγου Active Directory ενδέχεται να μην εντοπιστούν. Πέρα από αυτό, οι ειδικευμένοι εισβολείς γνωρίζουν τους τύπους πρωτοκόλλων που τείνει να παρακολουθεί το προσωπικό ασφαλείας. Μπορούν να χρησιμοποιήσουν αυτή τη γνώση για να διαμορφώσουν τις επιθετικές εκστρατείες τους έτσι ώστε να έχουν περισσότερες πιθανότητες να πετάξουν κάτω από το ραντάρ ή να δώσουν στον εαυτό τους αρκετό χρόνο για να εκτελέσουν με επιτυχία την επίθεσή τους πριν το αντιληφθεί κανείς.

Το πλεονέκτημα ανίχνευσης και απόκρισης δικτύου NSX

Απλώς δεν αρκεί για τους οργανισμούς να αναζητούν πλευρική κίνηση χρησιμοποιώντας κούτσουρα ή ένα εργαλείο EDR. Αντίθετα, πρέπει να στρέψουν την προσοχή τους στο δίκτυο. Κάτι τέτοιο θα επιτρέψει στους οργανισμούς να βλέπουν όλη την κίνηση δικτύου, να καθορίζουν μια βασική γραμμή κανονικής δραστηριότητας δικτύου για κάθε χρήστη και συσκευή και να παρακολουθούν για ασυνήθιστες ενέργειες που θα μπορούσαν να είναι ενδεικτικές κακόβουλης πλευρικής κίνησης. Γνωστή ως ανίχνευση ανωμαλιών, αυτή η εργασία είναι πιο ολοκληρωμένη και συχνά πιο εύκολη από την οργάνωση κάθε υπηρεσίας και την εξέταση κάθε αρχείου καταγραφής για ανωμαλίες.

Το πρόβλημα με την ανίχνευση ανωμαλιών είναι ότι πολλές από αυτές τις ανωμαλίες είναι καλοήθεις. Αυτό που χρειάζεται για να διαχωριστεί η κακόβουλη πλευρική κίνηση από τις καλοήθεις ανωμαλίες του δικτύου είναι η κατανόηση του πώς φαίνεται η κακόβουλη συμπεριφορά. Εκεί είναι που Ανίχνευση και απόκριση δικτύου NSX Το NSX Network Detection and Response κατανοεί τις απειλές και γνωρίζει πώς φαίνεται η κακόβουλη συμπεριφορά. Τα αυτοματοποιημένα μας συστήματα ανάλυσης παρακολουθούν, αναλύουν και προστατεύουν από εκατομμύρια απειλές κάθε μέρα. Χρησιμοποιώντας αυτές τις πληροφορίες συμπεριφοράς απειλών, το σύστημα μηχανικής εκμάθησης μπορεί να δημιουργήσει αυτόματα ισχυρούς ταξινομητές που εντοπίζουν, με πολύ υψηλή ακρίβεια, εκείνες τις ανωμαλίες δικτύου που παρουσιάζουν κακόβουλες συμπεριφορές, αφήνοντας πίσω καλοήθεις ανωμαλίες δικτύου που διαφορετικά δημιουργούν ψευδώς θετικά αποτελέσματα.

Ανεβάστε το παιχνίδι του οργανισμού σας ενάντια στην πλευρική κίνηση.

Μπορείτε να διαβάσετε την αρχική ανάρτηση του Chad Skipper εδώ.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert