Uma movimentação lateral acontece na cibersegurança quando um invasor compromete uma conta ou dispositivo e usa o comprometimento para obter acesso a outras contas ou dispositivos. O movimento lateral e o escalonamento de privilégios normalmente andam de mãos dadas quando um invasor se move pela rede e continua a obter acesso com privilégios cada vez mais altos até que dados confidenciais sejam roubados. Os invasores podem obter movimento lateral sem detecção se a rede não tiver ferramentas de monitoramento implementadas. Para interromper o movimento lateral, as organizações precisam de uma infraestrutura de segurança resiliente capaz de detectar padrões anômalos.
Entendendo o movimento lateral
Os dados confidenciais geralmente são acessíveis apenas com contas de usuário de alto privilégio, que são poucas em número. As contas de usuário de baixo privilégio, por outro lado, são muito mais numerosas, dando aos invasores mais oportunidades quando precisam de qualquer conta para um comprometimento inicial. Por exemplo, os documentos fiscais corporativos normalmente só são acessíveis a contadores, CFOs e analistas financeiros. Embora haja apenas algumas dessas contas, contas com privilégios mais baixos podem ser usadas para injetar malware na rede ou enviar e-mails de phishing aos funcionários financeiros para obter suas credenciais de conta.
O movimento lateral também pode dar aos invasores acesso a outros dispositivos. Por exemplo, um invasor compromete uma conta em uma estação de trabalho com acesso de máquina local a um servidor. O malware pode ser instalado no servidor. O malware pode ser ransomware, uma ferramenta de acesso remoto (RAT, Remote Access Tool) ou um script usado para exfiltrar dados. Na maioria das movimentações laterais, o objetivo é obter dados confidenciais.
Técnicas usadas no movimento lateral
Na maioria dos movimentos laterais, o comprometimento inicial é uma conta de usuário comercial. Os invasores obtêm acesso a essas contas usando algumas estratégias: sprays de credenciais, passar pelo hash, phishing ou injeção de malware. Veja uma breve descrição de cada estratégia:
- Sprays de credenciais: Os invasores fazem scripts de solicitações de autenticação usando credenciais conhecidas. Se os usuários atribuirem a mesma senha a várias contas, é possível que as credenciais roubadas de um site possam autenticar um invasor nas contas comerciais do usuário, especialmente se a autenticação de dois fatores não estiver configurada.
- Passe pelo hash: Embora um banco de dados de hashes de senha não divulgue um valor de texto simples, ataques de dicionário de força bruta podem expor o valor de texto simples por trás de um hash.
- Phishing: No comprometimento de e-mail corporativo (BEC, Business Email Compromision), os invasores comprometem uma conta de e-mail e enviam e-mails de phishing para usuários com privilégios mais altos.
- Injeção de malware: Ferramentas de acesso remoto e malware espionando dados podem fornecer acesso a outras máquinas ou contas na rede.
Os invasores frequentemente usam phishing ou malware para primeiro obter acesso a uma conta de baixo privilégio. Usando a conta de e-mail desse usuário, o invasor envia uma mensagem para outro usuário nos departamentos financeiro, de recursos humanos ou na equipe executiva solicitando acesso a um recurso específico. Se o alvo do phishing for obrigatório, o invasor agora tem acesso a dados confidenciais.
Ferramentas e tecnologias que facilitam o movimento lateral
Os cibercriminosos aproveitam um conjunto de ferramentas para realizar vários ataques. Grupos de invasores podem criar seus próprios aplicativos, mas a comunidade de hackers tem aplicativos abertos e gratuitos. Veja alguns exemplos:
- Mimikatz: Alguns programas armazenam credenciais em cache na memória. O Mimikatz verifica a memória do computador para credenciais em cache para acessar outros servidores ou estações de trabalho.
- PsExec: A Microsoft desenvolveu o PsExec para administradores de rede. Ele permite que os administradores iniciem ou interrompam serviços em servidores remotos. Nas mãos erradas, o PsExec pode ser usado para iniciar malware em um servidor remoto. O malware pode ser usado para roubar dados ou credenciais.
- PowerShell: O PowerShell é a versão da Microsoft de scripts e linguagens de scripts, mas pode ser usado para acessar computadores remotos, baixar malware em um dispositivo local ou realizar atividades maliciosas na rede.
Detecção e prevenção do movimento lateral
Depois de um comprometimento inicial, um invasor tem tempo limitado para elevar privilégios ou se mover lateralmente pela rede. Antes da divisão da conta de baixo privilégio, as organizações devem detectar comportamentos estranhos de rede para impedir danos adicionais após uma violação inicial de dados. As organizações têm várias estratégias para detectar atividade anômala e parar o movimento lateral:
- Use proteção de endpoint: Os agentes executados em endpoints (por exemplo, infraestrutura de nuvem ou dispositivos remotos do usuário) atualizam automaticamente o software, garantem que o antivírus esteja sendo executado e impedem que o malware seja instalado.
- Habilite o monitoramento de rede: Use soluções de monitoramento de rede para observar continuamente os padrões de comportamento das contas de usuário. Por exemplo, um número elevado de solicitações de acesso em um documento fiscal após a temporada fiscal pode indicar um comprometimento. O monitoramento de rede alerta os administradores para revisar a atividade.
- Ofereça treinamento de segurança: Treine usuários de alto nível para identificar phishing e engenharia social.
- Configure a segmentação de rede: A segmentação da rede bloqueia o acesso de um segmento para outro, armazenando informações confidenciais. Por exemplo, o segmento financeiro deve bloquear solicitações do segmento de vendas. Essa estratégia reduz a mobilidade de um movimento lateral.
- Criptografe dados: Se você sofrer uma violação de dados, os dados que foram criptografados ficarão ilegíveis para um invasor.
Conclusão
Para interromper o movimento lateral, a chave para o sucesso é a detecção e o monitoramento proativos, segmentando sua rede e protegendo os dispositivos. As regulamentações de conformidade também exigem monitoramento e auditoria de solicitações de acesso a dados confidenciais. O SIEM (security information and event management, gerenciamento de eventos e informações de segurança) é uma boa solução para monitorar e alertar os administradores sobre comportamentos incomuns. Para complementar sua infraestrutura de segurança, forneça treinamento aos funcionários e contratados para ajudá-los a identificar e relatar possíveis ataques, como phishing.
