Che cos'è il movimento laterale?

Come avviene il movimento laterale?

Un aggressore può eseguire il movimento laterale dopo aver compromesso un endpoint collegato a una rete che non dispone di controlli di accesso adeguati. Questo può avvenire attraverso l'abuso delle credenziali, sfruttando una vulnerabilità in un server o in un'applicazione, impiegando un malware per creare una backdoor e vari altri metodi. Molte delle misure convenzionali di sicurezza della rete non sono in grado di rilevare le attività dannose, in particolare quando sembrano provenire da utenti legittimi.

Vediamo nel dettaglio il modo in cui viene messo in atto il movimento laterale.

Le fasi del movimento laterale

Un attacco con movimento laterale si svolge in tre fasi principali:

1. Ricognizione: esplorando la rete, l'aggressore approfondisce la sua conoscenza delle convenzioni di denominazione e delle gerarchie di rete. Così facendo, può trovare le porte aperte dei firewall e altri punti deboli che gli consentono di formulare un piano per addentrarsi nella rete.
2. Infiltrazione: utilizzando le credenziali di accesso, spesso ottenute attraverso degli attacchi di phishing o altri tipi di social engineering, l'aggressore impiega tecniche di credential dumping ed escalation dei privilegi per ottenere l'accesso a diverse parti del sistema.
3. Accesso: una volta che individua il sistema o i dati di destinazione, l'aggressore può iniziare il suo attacco vero e proprio, consegnando un payload malware, esfiltrando o distruggendo i dati o eseguendo altre azioni.

Quali tipi di attacchi utilizzano il movimento laterale?

Gran parte dei tipi di attacchi può includere tecniche basate sul movimento laterale, come gli attacchi ransomware e malware, phishing e altre minacce. Una volta stabilito un punto di accesso a una rete, gli aggressori possono usare quella posizione come base da cui lanciare ulteriori attacchi.

Utilizzando tecniche come l'hijacking e lo spear phishing, gli aggressori possono muoversi all'interno della rete come se fossero utenti legittimi, senza che le misure di sicurezza informatica convenzionali segnalino la loro presenza.

Esempi di movimento laterale negli attacchi informatici

Il movimento laterale non è una tecnica, bensì un elemento strategico di un attacco che può assumere diverse forme a seconda delle esigenze dell'aggressore. Le tattiche comuni di attacco con movimento laterale includono:

• Pass the hash (PtH): invece di utilizzare una password in chiaro per l'autenticazione, un utente malintenzionato inserisce l'hash di una password rubata, ossia la stessa stringa cifrata memorizzata nell'autenticatore, e ottiene l'accesso.
• Pass the ticket (PtT): un utente malintenzionato utilizza i ticket rubati dal protocollo di autenticazione predefinito di Windows, Kerberos, per autenticarsi senza conoscere la password dell'utente.
• Sfruttamento di servizi in remoto: una volta all'interno di un sistema, un aggressore può sfruttare le vulnerabilità o le autorizzazioni non configurate correttamente dei servizi in remoto collegati per ottenere l'accesso ad altre parti della rete.
• Spear phishing interno: un aggressore che ha già l'accesso all'account di un utente legittimo può utilizzare attacchi di spear phishing per ottenere credenziali condivise, codici di accesso e simili. In questo modo, è meno probabile che le vittime che pensano di sapere con chi stanno parlando sospettino di un'azione illecita.
• SSH hijacking: gli aggressori possono dirottare le connessioni effettuate tramite Secure Shell (SSH), un protocollo di accesso remoto comune in macOS e Linux, per bypassare l'autenticazione e ottenere l'accesso a un altro sistema attraverso il tunnel SSH cifrato.
• Condivisioni admin di Windows: la maggior parte dei sistemi Windows abilita le condivisioni amministrative automaticamente. Se un aggressore ottiene l'accesso amministrativo, le condivisioni admin possono consentirgli di muoversi lateralmente molto rapidamente sfruttando le autorizzazioni per gestire e accedere ad altri host.

Quali sono le sfide per la sicurezza generate dal movimento laterale?

In una topologia di rete che consente di muoversi lateralmente senza limitazioni, un attacco può passare rapidamente da un host all'altro, spesso senza far scattare alcun allarme. Alcune minacce informatiche riescono ad agire tanto rapidamente che i team di sicurezza non sono in grado di contenerle, soprattutto se ci si affida a misure di sicurezza che inviano allerte solo quando ormai è troppo tardi.

La sempre maggiore diffusione del lavoro flessibile e da remoto ha creato alcuni problemi specifici. Gli utenti si collegano da ogni tipo di endpoint, e ciascun dispositivo può avere controlli di sicurezza diversi. Ognuno di questi elementi può rappresentare una potenziale vulnerabilità e un ulteriore vettore di attacco che gli aggressori possono sfruttare.

Tuttavia, le minacce avanzate (APT) sono ancora più pericolose. In questo tipo di attacco, un aggressore esperto può persistere sulla rete per mesi senza essere rilevato, accedendo a informazioni privilegiate ed esfiltrando i dati.

I passaggi per prevenire e rilevare il movimento laterale

La lotta per contrastare il movimento laterale combina due elementi.

Prevenzione del movimento laterale in tempo reale

È fondamentale bloccare il movimento laterale prima ancora che si verifichi, e per farlo è necessario:

• Implementare una sicurezza degli endpoint efficace e moderna. Il lavoro flessibile continuerà a far parte delle nostre vite. Per proteggere i lavoratori e preservarne la produttività, è necessario adottare soluzioni per gli endpoint e la mobilità che consentano il controllo zero trust degli accessi end-to-end, il rilevamento delle minacce e la risposta su un'ampia gamma di dispositivi.
• Proteggere gli obiettivi di alto valore. La compromissione di un account con privilegi amministrativi consente a un aggressore di accedere a dati più preziosi e sensibili. È quindi necessario proteggere questi account adottando i massimi livelli di sicurezza e riservarne l'uso solo per le attività che richiedono privilegi elevati.
• Implementare la microsegmentazione. La microsegmentazione crea zone sicure che consentono di isolare i workload gli uni dagli altri e di proteggerli singolarmente. I segmenti granulari possono essere adattati alle diverse esigenze del traffico, creando controlli che limitano i flussi di workload tra reti e applicazioni a quelli esplicitamente consentiti.
• Mantenere un approccio zero trust alla sicurezza. Tutti nell'organizzazione devono assumersi la responsabilità della sicurezza, non solo l'IT o un piccolo team di sicurezza; per questo è importante assicurarsi che tutto il personale comprenda e rispetti i protocolli di sicurezza comuni. Un approccio zero trust alla sicurezza è il modo più efficace per ridurre il rischio di attacchi informatici.

Rilevamento del movimento laterale

Se gli aggressori riescono a eludere i controlli, bisogna essere in grado di bloccarli sul nascere. Per questo è necessario:

• Monitorare l'attività di login. Tenere sotto controllo il traffico di autenticazione può favorire il rilevamento delle compromissioni dirette e dei furti delle credenziali prima che gli aggressori possano fare danni.
• Eseguire l'analisi del comportamento. L'analisi basata sul machine learning può stabilire una linea di riferimento per definire il comportamento normale degli utenti e segnalare le attività anomale che potrebbero indicare un attacco informatico.
• Utilizzare la tecnologia di deception. Sulla rete vengono distribuite risorse fittizie e realistiche che agiscono come esche per i criminali informatici. Incapaci di distinguere il vero dal falso, quando interagiscono con un'esca gli aggressori innescano un allarme silenzioso.
• Implementare la caccia alle minacce: la caccia alle minacce, o threat hunting, che viene eseguita da esperti attraverso un servizio gestito, è un approccio proattivo all'identificazione delle minacce precedentemente sconosciute o presenti nella rete e, per la maggior parte delle organizzazioni, rappresenta una potente misura di difesa contro gli attacchi avanzati e furtivi.

Prevenire e controllare il movimento laterale con lo zero trust

Sfruttare l'attendibilità a proprio favore, non solo quella conferita dall'autenticazione, ma anche la fiducia dovuta alla natura umana, è uno dei trucchi più antichi conosciuti dagli aggressori. Ancora oggi è uno dei modi più efficaci con cui gli utenti malintenzionati riescono a muoversi lateralmente nell'ambiente. Per negare loro questa opportunità, è necessario modificare il concetto di attendibilità.

Un'architettura zero trust applica le policy di accesso in base al contesto, che considera fattori come il ruolo e la posizione dell'utente, il dispositivo che utilizza e i dati che richiede; in questo modo, può bloccare gli accessi inappropriati e il movimento laterale all'interno di un ambiente.

Lo zero trust richiede la visibilità e il controllo sugli utenti e sul traffico dell'ambiente, compreso quello cifrato, il monitoraggio e la verifica del traffico inviato tra le parti dell'ambiente e rigorosi metodi di autenticazione a più fattori (MFA), più avanzati delle sole password.

In un'architettura zero trust, la posizione di rete di una risorsa non è più l'elemento principale del suo profilo di sicurezza. Invece di una segmentazione della rete rigida, dati, flussi di lavoro, servizi e altro sono protetti da una microsegmentazione definita da software, che consente di mantenerli al sicuro ovunque.

Prevenire il movimento laterale con Zscaler

Le soluzioni legacy di sicurezza della rete, come firewall e VPN, rappresentando un problema, in quanto creano una superficie di attacco molto estesa che può essere rilevata e sfruttata con estrema facilità dagli aggressori per penetrare nell'ambiente aziendale. Peggio ancora, queste soluzioni collocano gli utenti direttamente sulla rete; di conseguenza, gli aggressori sono in grado di accedere facilmente ai dati sensibili.

Ecco perché abbiamo realizzato Zscaler Private Access™, parte della piattaforma di Security Service Edge più accreditata e diffusa al mondo, che offre:

• Una sicurezza senza eguali, che va oltre le VPN e i firewall legacy: gli utenti si collegano direttamente alle app, non alla rete, e questo consente di ridurre al minimo la superficie di attacco ed eliminare il movimento laterale.
• Niente più compromissioni delle app private: una protezione delle app unica nel suo genere, che offre prevenzione inline, tecnologia di deception e isolamento delle minacce e riduce al minimo il rischio di compromissione degli utenti.
• Produttività superiore per la forza lavoro ibrida di oggi: l'accesso rapido alle app private si estende a utenti in remoto, sedi centrali, filiali e partner terzi.
• Una piattaforma ZTNA unificata per utenti, workload e OT/IoT: per instaurare una connessione sicura ad app private, servizi e dispositivi OT/IoT sfruttando la piattaforma ZTNA più completa del settore.

Zscaler Private Access applica il principio dei privilegi minimi per offrire agli utenti una connettività sicura e diretta alle applicazioni private, eliminando al contempo gli accessi non autorizzati e il movimento laterale. Dato che si tratta di un servizio nativo del cloud, ZPA può essere distribuito in poche ore sostituendo le VPN e gli strumenti di accesso remoto legacy con una piattaforma olistica zero trust.