PURE//ACCELERATE Registratevi adesso per Pure//Accelerate 2024
BLOG Pure garantisce uno SLA di efficienza energetica con lo storage più green del pianeta
Vendite: +39 0238582257
Vendite: +39 0238582257
I vantaggi di Pure Soluzioni Prodotti Servizi e supporto Risorse Partner Azienda
CONTATTACI
Icona a forma di fulmine
CONTATTACI
Icona a forma di fulmine
Main Menu
I vantaggi di Pure
Soluzioni
Prodotti
Servizi e supporto
Risorse
Partner
Azienda
Scegli un’altra regione
Scegli un’altra regione
  1. Knowledge base di Pure
  2. Che cos'è un movimento laterale nella sicurezza informatica?

Che cos'è un movimento laterale nella sicurezza informatica?

Una mossa laterale si verifica nella sicurezza informatica quando un utente malintenzionato compromette un account o un dispositivo e utilizza la compromissione per ottenere l'accesso ad altri account o dispositivi. Il movimento laterale e l'escalation dei privilegi di solito vanno di pari passo quando un utente malintenzionato si sposta sulla rete e continua ad avere accesso con privilegi sempre più elevati fino al furto di dati sensibili. Gli autori degli attacchi possono ottenere un movimento laterale senza rilevamento se la rete non dispone di strumenti di monitoraggio. Per fermare il movimento laterale, le organizzazioni hanno bisogno di un'infrastruttura di sicurezza resiliente in grado di rilevare schemi anomali. 

Comprendere il movimento laterale

I dati sensibili sono generalmente accessibili solo con account utente con privilegi elevati, che sono pochi in numero. Gli account utente a basso privilegio, invece, sono molto più numerosi e offrono agli autori degli attacchi più opportunità quando hanno bisogno di un account per un compromesso iniziale. Ad esempio, i documenti fiscali aziendali sono generalmente accessibili solo a contabili, CFO e analisti finanziari. Anche se ci sono solo alcuni di questi account, gli account con privilegi inferiori possono essere utilizzati per inserire malware nella rete o inviare e-mail di phishing ai dipendenti finanziari per ottenere le credenziali del loro account.

Il movimento laterale può anche consentire agli autori degli attacchi di accedere ad altri dispositivi. Ad esempio, un utente malintenzionato compromette un account su una workstation con accesso a un server da parte di un computer locale. Il malware può essere installato sul server. Il malware potrebbe essere un ransomware, uno strumento di accesso remoto (RAT) o uno script utilizzato per estrarre i dati. Nella maggior parte dei movimenti laterali, l'obiettivo è ottenere dati sensibili. 

Tecniche utilizzate nel movimento laterale

Nella maggior parte dei movimenti laterali, il compromesso iniziale è un account utente aziendale. Gli autori degli attacchi hanno accesso a questi account utilizzando alcune strategie: spray di credenziali, passaggio dell'hash, phishing o iniezione di malware. Ecco una breve descrizione di ciascuna strategia:

  • Spray per credenziali: Gli autori degli attacchi effettuano richieste di autenticazione tramite script utilizzando credenziali note. Se gli utenti assegnano la stessa password a più account, è possibile che le credenziali rubate da un sito Web possano autenticare un utente malintenzionato sugli account aziendali dell'utente, specialmente se l'autenticazione a due fattori non è configurata.
  • Supera l'hash: Sebbene un database di hash di password non riveli un valore di testo normale, gli attacchi con dizionario forzato potrebbero esporre il valore di testo normale dietro un hash.
  • Phishing: Nella compromissione delle e-mail aziendali (BEC), gli autori degli attacchi compromettono un account e-mail e inviano e-mail di phishing agli utenti con privilegi più elevati.
  • Iniezione di malware: Gli strumenti di accesso remoto e il malware che intercettano i dati potrebbero fornire accesso ad altri computer o account sulla rete.

Gli autori degli attacchi spesso utilizzano il phishing o il malware per ottenere l'accesso a un account a basso privilegio. Utilizzando l'account e-mail dell'utente, l'autore dell'attacco invia un messaggio a un altro utente del reparto finanziario, delle risorse umane o del team esecutivo che chiede di accedere a una risorsa specifica. Se il bersaglio di phishing lo obbliga, l'autore dell'attacco ora ha accesso ai dati sensibili.

Strumenti e tecnologie che facilitano il movimento laterale

I criminali informatici sfruttano una serie di strumenti per eseguire vari attacchi. I gruppi di hacker potrebbero crearne di propri, ma la community degli hacker ha applicazioni aperte e gratuite. Ecco alcuni esempi:

  • Mimikatz: Alcuni programmi memorizzano le credenziali nella memoria. Mimikatz analizza la memoria del computer per le credenziali memorizzate nella cache e consente di accedere ad altri server o workstation.
  • PsExec: Microsoft ha sviluppato PsExec per gli amministratori di rete. Consente agli amministratori di avviare o interrompere i servizi su server remoti. Nelle mani sbagliate, PsExec può essere utilizzato per avviare malware su un server remoto. Il malware può essere utilizzato per rubare dati o credenziali.
  • PowerShell: PowerShell è la versione Microsoft dei linguaggi di scripting e scripting, ma può essere utilizzato per accedere ai computer remoti, scaricare malware su un dispositivo locale o eseguire attività dannose sulla rete.

Rilevamento e prevenzione del movimento laterale

Dopo una compromissione iniziale, un utente malintenzionato ha tempo limitato per aumentare i privilegi o spostarsi lateralmente sulla rete. Prima dell'interruzione dell'account a basso privilegio, le organizzazioni devono rilevare uno strano comportamento della rete per bloccare ulteriori danni dopo una violazione iniziale dei dati. Le organizzazioni hanno diverse strategie per rilevare l'attività anomala e arrestare il movimento laterale:

  • Usa la protezione degli endpoint: Gli agenti in esecuzione sugli endpoint (ad esempio, l'infrastruttura cloud o i dispositivi remoti degli utenti) aggiornano automaticamente il software, garantiscono l'esecuzione dell'antivirus e impediscono l'installazione del malware.
  • Abilita il monitoraggio della rete: Usa le soluzioni di monitoraggio della rete per osservare continuamente i modelli di comportamento degli account utente. Ad esempio, un elevato numero di richieste di accesso a un documento fiscale dopo la stagione fiscale potrebbe indicare un compromesso. Il monitoraggio della rete avvisa gli amministratori di rivedere l'attività.
  • Offri formazione sulla sicurezza: Addestra gli utenti con privilegi elevati a identificare il phishing e l'ingegneria sociale.
  • Configura segmentazione di rete: La segmentazione della rete blocca l'accesso da un segmento all'altro memorizzando informazioni sensibili. Ad esempio, il segmento finanziario deve bloccare le richieste del segmento di vendita. Questa strategia riduce la mobilità di un movimento laterale.
  • Crittografia dei dati: Se subisci una violazione dei dati, i dati che sono stati crittografati saranno illeggibili per un utente malintenzionato.

Conclusione

Per fermare il movimento laterale, la chiave del successo è il rilevamento e il monitoraggio proattivo, la segmentazione della rete e la protezione dei dispositivi. Le normative di conformità richiedono anche il monitoraggio e l'audit delle richieste di accesso ai dati sensibili. SIEM (Security Information and Event Management) è una buona soluzione per monitorare e avvisare gli amministratori di comportamenti insoliti. Per integrare l'infrastruttura di sicurezza, fornisci formazione a dipendenti e appaltatori per aiutarli a identificare e segnalare potenziali attacchi come il phishing.

We Also Recommend...

Check Out Our Resource Center Check Out Our Resource Center
03/2025
Automating Distribution Centers with All-Flash
Discover why Carozzi chose Pure Storage to meet the data demands of automating its distribution center with automated guided vehicles.
Case study
3 pages
03/2025
Rubrik and Pure Storage: Cyber Resilience Stack
Rubrik and Pure Storage have partnered to offer a cyber resilience stack combining FlashArray, Rubrik Security Cloud, and FlashBlade.
Solution brief
2 pages
03/2025
ESG Report: The Economic Benefits of Pure Storage in Virtualized Environments
Download this Economic Validation conducted by Enterprise Strategy Group to learn how Pure Storage can help you with your virtualization data storage needs.
Report degli analisti
16 pages
Scopri Pure
Centro eventi
Scopri i prossimi eventi e webinar e cerca nel nostro catalogo i contenuti on demand.
Blog
Resta aggiornato sugli annunci, gli aggiornamenti dei prodotti, i dettagli delle soluzioni e le indicazioni tecniche di Pure.
Centro risorse
Consulta la nostra raccolta completa di report degli analisti, white paper, eBook e molto altro.
CONTATTACI
Domande?

Hai domande o commenti sui prodotti o sulle certificazioni di Pure?  Siamo qui per aiutarti.

Contattaci Chat live
Prenota una demo

Prenota una demo per vedere come puoi trasformare i tuoi dati in risultati concreti con Pure. 

Richiedi una demo

Telefono: +39 02 9475 9422

Media: pr@purestorage.com

 

Pure Storage Italia

Spaces c/o Bastioni di Porta Nuova, 21

Milano, 20121

+39 02 9475 9422

italia@purestorage.com

CHIUDI
Il browser che stai usando non è più supportato.

I browser non aggiornati spesso comportano rischi per la sicurezza. Per offrirti la migliore esperienza possibile sul nostro sito, ti invitiamo ad aggiornare il browser alla versione più recente.

safari
chrome
firefox
edge